De website van Mossack Fonseca maakt gebruik van het Content Management Syteem WordPress. Dit systeem heeft als voordeel om heel modulair te zijn doordat er allerlei uitbreidingen aan gekoppeld kunnen worden. In dit geval maakte de website gebruik van een uitbreiding ‘Revolution Slider’ om afbeeldingen in een slider op hun website te tonen. In september 2014 is gebleken dat er een groot beveiligingslek zat in de uitbreiding ‘Revolution Slider’. Toen het nieuws over dit lek bekend werd, werden er veel websites gehacked. Net zoals een computer, moet een website en alle bijhorende software en uitbreidingen regelmatig geupdate worden. Laat dat nu net zijn wat er niet gebeurd is bij Massack Fonseca. Ongelooflijk maar waar, deze website is al meer dan een jaar kwetsbaar voor hackers. Dit is echter maar het begin…
Eenmaal je toegang hebt tot een website kan je via het wp-config.php bestand te weten komen wat de locatie, gebruikersnaam en het wachtwoord is van de database van de website. De hackers hebben hier waarschijnlijk gebruik van gemaakt. Op dit moment hebben de hackers nog steeds geen confidentiële documenten maar ze komen dichterbij.
Uit onderzoek van WordFence, een firma gespecialiseerd in online beveiliging, blijkt dat Mossack Fonesca gebruik maakte van twee website uitbreidingen die gelinkt zijn met e-mail accounts van Mossack Fonesca. De gebruikte uitbreidingen waren ‘ALO EasyMail Newsletter’ en ‘Easy WP SMTP’. Deze dienen respectievelijk om nieuwsbrieven en e-mails te verzenden vanaf de website. Voor beide uitbreidingen moet er verbinding gelegd worden met de mailserver van Mossack Fonesca. In beide gevallen wordt de login informatie ongeëncrypteerd opgeslagen in de database. Met deze login informatie konden de hackers waarschijnlijk toegang krijgen tot e-mail accounts en vertrouwelijke informatie. Bovendien stonden de mailaccounts op dezelfde server als de website. Mogelijk zijn hackers ook via deze weg aan gevoelige informatie geraakt. Ook dit is vanuit IT security oogpunt geen slimme zet.
Mossack Fonesca gebruikte ook een klantenportaal om te kunnen communiceren met hun klanten. Ze gebruikten hiervoor het Content Management Systeem Drupal, een kleinere tegenhanger van WordPress. Hier ondekte WordFence dat het klantenportaal draaide op een verouderde versie van Drupal. Deze oudere versie viel onder ‘Drupageddon’, dit wil zeggen dat het systeem overgenomen kan worden door hackers indien je gebruik maakt van deze verouderde versie van Drupal. De kans is reëel dat hackers ook via deze weg documenten konden bemachtigen.
Uit ervaring weten wij dat er vaak te lichtzinnig wordt omgegaan met website security omdat een website vaak als een niet bedrijfskritisch element wordt gezien. Uit deze en andere cases blijkt echter dat website security zeer belangrijk is omdat je anders hackers toegang kan geven tot gevoelige informatie of hen de mogelijkheid kan geven om SPAM e-mails te verzenden in naam van jouw organisatie. Het is relatief eenvoudig om het grootste deel van de hackers tegen te houden. Je moet ervoor zorgen dat je website en alle uitbreidingen die erbij horen steeds geupdate worden. Dit moet ook zo snel mogelijk gebeuren omdat veel website software Open Source is waardoor hackers beveiligingsfouten kunnen opsporen. Werk samen met een partner die je website up to date kan houden en je goed kan adviseren. Zo voorkom je een Panama Paper scenario voor jouw organisatie.
Bij vragen, contacteer ons gerust via flux.be of info@flux.be Het voornaamste deel van deze informatie komt via het bedrijf WordFence. Wij willen hen bedanken om deze zaak zo uitgebreid te onderzoeken en hierover te rapporteren.