Panama-murron kohteeksi joutunut Mossack Fonseca teki pahoja tietoturvavirheitä - Tietoturva - Ilta-Sanomat

Reikiä softassa, salaamattomia sähköposteja: Näinkö Panama-murto tehtiin?

Kuvituskuva
Julkaistu: 7.4.2016 11:24, Päivitetty 9.6.2016 12:05

Forbes-lehden mukaan Panama-tietomurron kärsinyt yritys teki räikeitä tietoturvavirheitä, joita hyökkääjät olisivat voineet käyttää hyväkseen.

Korruptiota ympäri maailman valottavat "Panama-paperit" vietiin Mossack Fonseca -nimiseltä lakifirmalta tietomurron avulla. Nyt Forbes-lehti on kartoittanut joitakin potentiaalisia tapoja, joilla murtajat saattoivat päästä tietoihin käsiksi.

Forbes tutki yhtiön verkkosivuston lokitiedostoja ja huomasi, että Mossack ajoi kolme kuukautta vanhaa versiota WordPress-ohjelmistosta, jossa tiedetään olevan joitakin haavoittuvuuksia. Tämä oli kuitenkin vasta alkua.

Mossackilla oli kaikesta päätellen myös käytössään kolme vuotta vanha versio Drupal-julkaisuohjelmistosta. Drupalia käytetään portaalissa, joka päästää asiakkaat käsiksi arkaluonteiseen tietoon, ja lokitietojen perusteella versio oli 7.23, jossa on ainakin 25 tunnettua haavoittuvuutta. Haavoittuvuuksista kahta olisi voitu käyttää oman koodin ajamiseen palvelimella ja tietojen varastamiseen.

Drupal jopa varoitti vuoden 2014 syksyllä laajoista hyökkäyksistä sen ohjelmistoa käyttäviä verkkosivustoja vastaan. Se sanoi, että "sinun tulee olettaa, että jokainen Drupal 7 -verkkosivusto on vaarantunut", ellei sivustoa ollut paikattu vain tunteja haavoittuvuuden korjaamisen jälkeen.

On tosin mahdollista, että Mossackin verkkosivuston lokitiedot jäivät syystä tai toisesta päivittämättä, joten vanhan Drupalin ajamisesta ei ole vedenpitäviä todisteita. Lisäksi ei ole tiedossa, mitä kautta tietomurtajat todellisuudessa varastivat asiakirjat.

Firman toiminnasta kertoo kuitenkin omaa kieltään myös se, että Forbesin mukaan sen sähköpostiliikennettä ei salattu. Lisäksi se ei havainnut tietomurtoa tai ainakaan varoittanut siitä julkisesti vähintään yhteen vuoteen.

Tuoreimmat osastosta