Panama Papers – Quanto è stato facile penetrare nel database di Mossack Fonseca
Mossack Fonseca è stata hackerata con estrema facilità. Credits: icij.com
Tutti abbiamo sentito parlare dei Panama Papers pubblicati alcuni giorni fa, su Close-up Finance Engineering abbiamo già spiegato e fatto chiarezza su cosa siano, ma per noi di Systems è il momento di precisare che:
Quella che sembra essere la più grande fuga di notizie della storia, risulta avere alla base un mix di semplici e basilari falle di sicurezza informatica.
E’ infatti ormai appurato come Mossack Fonseca, la società tramite la quale sono state create e gestite le società offshore molte delle quali accusate di evasione fiscale, sia stata compromessa informaticamente prima della fuga di dati, nel 2014.
Ma quello che fa scalpore è la facilità con cui sia stata compromessa la sicurezza del portale offerto da Mossack Fonseca.
John Doe (Nome utilizzato dagli Inglesi per dire “Voglio rimanere anonimo”) avrebbe infatti compromesso con estrema facilità la sicurezza del portale mossfon.com, utilizzando vulnerabilità note.
Come è stato hackerato
Il portale mossfon.com è stato hackerato nel 2014, ma ancora oggi presenta decine di problemi di sicurezza noti, ed è inoltre basato su un sistema di server non sicuro che consente quindi, una volta compromesso il webserver, di accedere anche a database interno e all’email server.
Il portale è creato utilizzando WordPress e Drupal. La falla principale che ha permesso di compromettere il webserver risiede proprio in un plugin WordPress, ed è oltre che nota da molto tempo, anche estremamente semplice da sfruttare.
Il plugin incriminato è Revolution Slider nella versione 3.0.95.
L’attacco sfrutta uno script rilasciato online su Exploit-db.com che consente di avviare una shell su un webserver su cui è installato Revolution Slider. Una volta avviata la shell è possibile navigare nel server e leggerne i dati, in cerca dei dati di accesso al database.
Una volta avviata la shell è possibile vedere le schede di rete del server, ottenendo quindi una via di accesso anche agli altri server, tra cui l’email server per esempio, che nel caso di Mossack Fonseca era nella stessa rete del webserver.
Ecco un video dimostrativo creato da WordFence:
Il portale di mossfon che fornisce l’accesso ai dati gira invece su una versione di drupal che ha ben 23 vulnerabilità attive, e che è stato al centro dello scandalo Drupageddon, un’azione di hacking di massa verso portali Drupal.
Ma questo non è bastato a Mossack Fonseca per pensare di aggiornare la versione Drupal.
Per non farci mancare nulla, fino a un mese fa, il server non era neanche dotato di un firewall.
Mossack Fonseca possedeva in pratica uno dei portali meno sicuri di tutto il web, nonostante gestisse milioni di dati sensibili, tra cui dati di società che evadevano il fisco, quindi doppiamente sensibili e allettanti.
I Panama Papers sarebbero quindi frutto di un hacking basilare che chiunque con un minimo di esperienza in sicurezza informatica avrebbe potuto attuare, e che con un minimo di intelligenza si sarebbe potuto evitare. Ma forse è meglio così.
Una mappa di tutte le società coinvolte
Subito dopo la pubblicazione dei dati, ecco apparire una mappa interattiva con tutte le società coinvolte nello scandalo.