SQL Injection: Erneute Sicherheitslücke bei Mossack Fonseca

Die IT-Sicherheitsprobleme bei der panamaischen Anwaltskanzlei Mossack Fonseca, bekannt für ihren Verlust der »Panama Papers«, reißen nicht ab. Ein »underground researcher« mit dem Twitter-Handle @1x0123 fand im elektronischen Online-Bezahlsystem der Firma eine als »SQL Injection« bekannte Sicherheitslücke.

Laut eines Screenshots einer E-Mail, die er an die Kanzlei sandte, um sie über die Lücke in Kenntnis zu setzen, gelangte er so u.a. an Login-Daten von Mitarbeitern, Zugangsdaten zum E-Mailserver und die Konfigurations-Datei des Bezahlsystems »Orion House«.

@1x0123 stellt sich als Teil eines privaten Marktes für Sicherheitslücken vor, die als Grey-Hacker zwar ungefragt in Systeme eindringen, die Betroffenen aber später darüber informieren.

focusing on private information security to point out vulnerabilities to improve safety & security products ,we are startig a new exploit-market. collected high profile sites databases & private exploits + vulnerabilities in different systems

 

Login-Screen des Online-Bezahlsystems »Orion House« von Mossack Fonseca

 

Am Rande sei noch erwähnt, dass der Emailverkehr zu der Adresse der »Orion House Services (HK) Limited« aus Hongkong, bei der Kunden ihre Zugangdaten erhalten sollen, wie schon bei Mossack Fonseca, nicht verschlüsselt ist.

Fehlende Verschlüsselung bei Orion House (Screenshot/tlscheck.com).