Drupal 太舊、email 沒加密,流出「巴拿馬文件」的事務所網站漏洞百出

作者 | 發布日期 2016 年 04 月 09 日 0:00 | 分類 伺服器 , 網路 , 資訊安全 line share follow us in feedly line share
Drupal 太舊、email 沒加密,流出「巴拿馬文件」的事務所網站漏洞百出


巴拿馬文件除了是史上最大宗的洩密事件,更在影響世界各地的知名人士,但這屬於 Mossack Fonseca 律師事務所的 2.6 TB 資料是怎樣流出呢?這仍是一個謎,但可以肯定的是 Mossack Fonseca 的伺服器和網站均千瘡百孔,有不少安全漏洞。

維基解密於事後公開一封電子郵件,顯示 Mossack Fonseca 在 4 月 1 日通知客戶,指他們的郵件伺服器受到入侵,現在已聯同專家展開深入調查,並採取一切措施防止事件。Mossack Fonseca 的共同創辦人 Ramon Fonseca 亦表示巴拿馬文件是駭客非法獲得的。不過入侵是誰發動就沒人知道。

但根據外國媒體 Wired 的報導,Mossack Fonseca 的網路漏洞並非如此簡單,不少系統都已經過時。首先 Mossack Fonseca 使用的電子郵件服務 Outlook Web Access 自 2009 年已沒有更新;第二,根據更新紀錄,Mossack Fonseca 利用 Drupal 製作的入口網站(portal)的最後更新日期為 2013 年 8 月,網站亦可被 DROWN 攻擊;主網站所用的 Drupal 亦至少有 25 個漏洞,包括 SQL 注入。除此之外,Mossack Fonseca 的電郵沒有利用 TLS 加密。

巴拿馬文件涵蓋 1,150 萬份檔案,包括電子郵件、資料庫、PDF 、圖片和文字檔案。現在到底是 Mossack Fonseca 的員工還是外國駭客洩密仍然無從判斷,即使是第一個接觸資料的《南德意志報》,也只能與稱為 John Doe 、正受生命威脅的神秘人進行加密通訊。

(本文由 Unwire Pro 授權轉載;首圖來源:達志影像)