Desde o início do escândalo Panama Papers, a Mossack Fonseca – empresa responsável por criar contas no exterior para algumas das pessoas mais ricas e poderosas do mundo – alega que o vazamento aconteceu devido a uma invasão vinda de fora. Eles tinham diversas brechas de segurança, e parece que uma delas foi crucial.

>>> A tecnologia usada para vazar os 2,6 terabytes de dados dos Panama Papers



Segundo a Wordfence, empresa de segurança para a plataforma de blogs WordPress, o site da Mossack Fonseca estava usando a versão desatualizada de um plug-in chamado Revolution Slider, que tem vulnerabilidades bem documentadas.

Elas permitem que usuários não-autenticados façam upload de arquivos e scripts para servidores de um site, e então tenham acesso à máquina. A Wordfence descreve a brecha como “trivialmente fácil” no vídeo abaixo:

Para uma empresa boa em esconder dinheiro, a Mossack Fonseca aparentemente era terrível em esconder dados. A Wordfence diz que os e-mails da empresa estavam armazenados no mesmo servidor que poderia ser facilmente acessado através da falha no Revolution Slider.

Ou seja, após o upload de um pequeno script, os e-mails estavam lá para serem baixados também. E de acordo com o especialista Christopher Soghoian, da ACLU, esses e-mails não eram transmitidos por tráfego seguro (via TLS). Seria como guardar todo o seu dinheiro em uma conta corrente com senha 1-2-3-4.

“É difícil confirmar com total confiança o que aconteceu exatamente, mas isto faz sentido. O WordPress e outros sistemas de gerenciamento de conteúdo estão sob ataques constantes”, diz Jérôme Segura, da Malwarebytes, ao Gizmodo. “Quanto mais extensões e software de terceiros um site usa, mais difícil será protegê-lo.”

revolution slider

A Wordfence também afirma que, até muito recentemente, não havia proteção de firewall no site da Mossack Fonseca, uma medida de segurança que poderia impedir – ou pelo menos limitar – a quantidade de dados que foi vazada.

Segundo a Wired, o portal da Mossack Fonseca para clientes usava uma versão da plataforma Drupal lançada há três anos, conhecida por ter dezenas de vulnerabilidades. O servidor do portal também dava suporte a SSL v2, um protocolo obsoleto que é suscetível a ataques DROWN, um meio de descriptografar mensagens a partir de um servidor. E o sistema de webmail, que usa o Microsoft Outlook Web Access, foi atualizado pela última vez em 2009.

Entramos em contato com a Mossack Fonseca e com a empresa por trás do plugin Revolution Slider, mas não tivemos resposta.

[Wordfence]