Panamaleaks: Katastrophale IT-Sicherheit bei Mossack Fonseca

7. April 2016, 15:17
50 Postings

Kunden versprach das Unternehmen Sicherheit, tatsächlich herrschten aber fahrlässige Bedingungen

Noch ist unklar, ob die als "Panama Papers" veröffentlichten Dokumente durch einen Insider oder einen Angriff auf das Computersystem des Rechtsdienstleistungsunternehmens Mossack Fonseca publik wurden. Die Anwaltskanzlei selbst sieht sich als Opfer einer Hackerattacke.

Verwunderlich wäre dies nicht, denn anscheinend verwendete Mossack Fonseca unter anderem für den Zugriff auf E-Mail-Postfächer Technik aus dem Jahre 2009. Experten orteten zahlreiche weitere Sicherheitslücken.

E-Mails nicht verschlüsselt

Das Webmail-System des Unternehmens, das auf Microsofts Outlook Web Access basiert, wurde seit 2009 nicht mehr aktualisiert, das auf Drupal basierende Kundenportal seit 2013 nicht mehr upgedatet.

Der Aktivist Christopher Soghoian äußerte gegenüber Wired, dass weder E-Mails selbst verschlüsselt waren noch auf das Verschlüsselungsprotokoll TLS für den Transport selbiger zurückgegriffen wurde. Für das Gewerbe, in dem sie tätig waren, wäre es überraschend, wie wenig sie über den Schutz des Mailverkehrs nachgedacht hätten, meinte Angela Sasse, Professorin am University College London.

Hohe Risiken

Die Webseite des Unternehmens verwendete eine drei Monate alte Wordpress-Software, aber viel schlimmer soll die seit drei Jahren veraltete Drupal-Version sein, die höchste Sicherheitsrisiken barg, wie Drupal selbst vor Jahren warnte. Experten orteten hier mindestens 25 angreifbare Schwachstellen bei der Firma, darunter eine Anfälligkeit für SQL-Injections, die extreme Schäden anrichten hätten können.

Darüber hinaus wäre die Dateistruktur des Servers für Angreifer leicht einsehbar gewesen, Teile des Back-Ends hätten einfach aufgerufen werden können, indem die URL der entsprechenden Seiten einfach erraten wurde. Das Portal der Seite wäre ebenfalls dem Risiko einer DROWN-Attacke ausgesetzt gewesen. Sicherheitsexperte Alan Woodward fühle sich angesichts dieser Zustände wie in die Vergangenheit zurückgesetzt, äußerte er gegenüber WIRED. (fps, 7.4.2016)

  • Die virtuellen Türen der Anwaltskanzlei Mossack Fonseca dürften weit offen gestanden sein.
    foto: apa/afp/johannes eisele

    Die virtuellen Türen der Anwaltskanzlei Mossack Fonseca dürften weit offen gestanden sein.

  • Die Webseite und das Kundenportal des Unternehmens hätten dringend aktualisiert gehört.
    foto: screenshot: red

    Die Webseite und das Kundenportal des Unternehmens hätten dringend aktualisiert gehört.

  • Mossack Fonseca dürfte schwerwiegende Sicherheitslücken einfach ignoriert haben.
    foto: ap/arnulfo franco

    Mossack Fonseca dürfte schwerwiegende Sicherheitslücken einfach ignoriert haben.

Share if you care.