close
企業趨勢資訊保安

Drupal 太舊、電郵沒加密 涉「巴拿馬文件」之事務所漏洞處處

巴拿馬文件除了是史上最大宗的洩密事件,更在影響世界各地的知名人士,但這屬於 Mossack Fonseca 律師事務所的 2.6 TB 資料是怎樣流出呢?這仍是一個謎,但可以肯定的是 Mossack Fonseca 的伺服器和網站均千瘡百孔,有不少安全漏洞。

panama-papers

 

維基解密於事後公開一封電郵,顯示 Mossack Fonseca 在四月一日通知客戶,指他們的電郵伺服器受到入侵,現在已聯同專家展開深入調查,並採取一切措施防止事件。Mossack Fonseca 的共同創辦人 Ramon Fonseca 亦表示巴拿馬文件是黑客非法獲得的。不過入侵是誰發動就無人知曉。

但根據外國媒體 Wired 的報導,Mossack Fonseca 的網絡漏洞並非如此簡單,不少系統都已經過時。首先 Mossack Fonseca 使用的電郵服務 Outlook Web Access 自 2009 年已沒有更新;第二,根據更新記錄,Mossack Fonseca 利用 Drupal 製作的入口網站(portal)的最後更新日期為 2013 年 8 月,網站亦可被 DROWN 攻擊;主網站所用的 Drupal 亦至少有 25 個漏洞,包括 SQL 注入。除此之外,Mossack Fonseca 的電郵沒有利用 TLS 加密。

巴拿馬文件涵蓋 1150 萬份檔案,包括電郵、資料庫、PDF 、圖片和文字檔。現時到底是 Mossack Fonseca 的員工還是外國黑客洩密仍然無從判斷。即使是第一個接觸資料的《南德意志報》,也只能與稱為  John Doe 、正受生命威脅的神秘人進行加密通訊。

Source : WIRED , The Register

 

Dennis Ma

The author Dennis Ma

為香港讀者分享各種 IT 新聞及趨勢,如企業動態、保安消息(勒索軟件、程式漏洞等)、未來科技(AR、VR、3D打印等。)、電子商貿;亦專門分享 SEO、網頁設計、社交平台推廣等心得。