Das größte Datenleck in der Geschichte der Briefkastenfirmen-Anbieter war allem Anschein nach ein externer Hack und kein Inside Job.
Bislang konnte spekuliert werden, ob möglicherweise eine gescheiterte Liebesbeziehung Grund für die Entwendung der Panama Papers war. Dass die IT-Sicherheit in der Kanzlei Mossack Fonseca (Mossfon) stiefmütterlich behandelt wurde, dürfte bereits die fehlende Verschlüsselung des Emailverkehrs deutlich gemacht haben.
Allerdings müssten sie dann schon geradezu kriminell unfähig sein die Daten ihrer Kunden zu schützen. Laut SZ tröpfelten die Daten über ein Jahr lang in die Redaktion, was bedeutet, dass in diesem Zeitraum immer wieder von außen auf den Firmenserver zugegriffen worden sein muss, ohne, dass es der Firma auffiel.
Nun hat die für die Absicherung von Wordpress-basierten Websites spezialisierte Firma WordFence die öffentlich zugängliche Infrastruktur von Mossack Fonseca genauer untersucht. Das Ergebnis: Mossfons Internetpräsenz verwendet immer noch (Link zum Release Log des Plugins auf mossfon.com) eine angreifbare Version des Wordpress-Plugins Revolution Slider, für das es seit November 2014 einen Exploit gibt. WordFence hat ein kleines Video vorbereitet, in dem sie die Anwendung des Exploits erklären.
Gleichzeitig lief unter derselben IP wie das angreifbare Wordpress noch der unverschlüsselte Exchange Server der Firma. Die Angreifer konnten so über die Firmenwebsite direkt zum Emailserver vordringen, um dort E-Mails und andere Daten herunterzuladen.
Zusätzlich betreibt Mossack Fonseca noch ein Kundenportal mit Drupal. Zum Zeitpunkt des Hacks lief dort laut El Reg die Version 7.23, die mit etwa 25 Sicherheitslücken aufwarten kann. Seit Oktober 2014 wird dringend empfohlen, das System zu patchen. Es gab also gleich zwei Angriffspunkte, mit denen Angreifer zu internen Systemen, und damit vertraulichen Kundendaten, vordringen konnten.
Wer derart fahrlässig bei der Pflege seiner IT ist, dem fallen auch keine zusätzlichen Zugriffe oder erhöhter Traffic auf. Ohne die Veröffentlichung der Panama Papers hätte Mossack Fonseca wohl nie erfahren, dass ihnen vertrauliche Dokumente abhanden gekommen sind.
Moral: Patchen kann Karrieren retten, nicht-Patchen kann Karrieren befördern und Regierungen stürzen.
Update: Die Liste potentieller Angriffsvektoren ist noch länger. Neben den genannten Löchern in Wordpress und Drupal waren sind sämtliche SSL-Verbidungen zu mossfon.com und Subdomains anfällig für den DROWN-Angriff (CVE-2016-0703), Outlook Web Access wurde seit 2009 nicht aktualisiert.