Mossack Fonseca “Panama Papers” per WP-Hack erbeutet?

Über die Briefkastenfirmen, die von der Kanzlei Mossack Fonseca gegründet und in den “Panama Papers” offengelegt wurden, ist die Tage ja viel zu lesen. Aber wo kommen die Daten her? Ein Insider als Whistle Blower oder eher ein banaler Hack?


Anzeige

Mein bisheriger Kenntnisstand: Der Süddeutsche Zeitung wurden die Daten (2,6 Terabyte) vor einem Jahr aus anonymer Quelle zugespielt. Die Info hatte ich seit knapp einem Jahr und bin von einem Insider, der aus moralischen Gründen als Whistle Blower fungiert, ausgegangen (war auch erinnerungsmäßig die Aussage von Georg Mascolo in öffentlichen TV-Auftritten). Aber beim Nachlesen (z.B. hier) ist das nicht mehr klar. Der anonyme Informant “John Doe” kommunizierte nur verschlüsselt, es gab kein Treffen mit den SZ-Redakteuren und die Dateien wurden in VeraCrypt-Containern übergeben.

Aber wie wurden die Daten eigentlich erbeutet? Die Kanzlei Mossack Fonseca geht davon aus, dass sie gehackt wurden und will (siehe diesen Spiegel Artikel) strafrechtlich gegen die “Verantwortlichen” des Datenlecks vorgehen. Kann natürlich eine Schutzbehauptung sein.

Steht ein simpler Hack hinter dem Ganzen?

Nun geht die Spekulation aber los, wie die Daten an die Öffentlichkeit gelangen konnten. Von WikiLeaks ist ein Dokument von Mossack Fonseca an seine Kunden öffentlich geworden, welches von einem Hack ausgeht.

Dieser Forbes-Artikel vom 5. April 2016 geht von einem Hack aus, über den die Daten von der Kanzlei abgeflossen seien. So betreiben die Leute eine WordPress- und eine Drupal-Installation, die etwas “outdated” waren (Drupal 7.23 ist wohl seit 3 Jahren überholt). Man geht von einem Drupal-Hack aus. The Register schreibt, dass ein E-Mail-Server gehackt worden sei. Ein paar Infos finden sich auch bei BBC, wobei dort auch ein Insider, der die Daten geleaked hat, .

Mögliche Details: WordPress Plugins und weitere Schwachstellen

Die Sicherheitsleute von WordFence warten mit einer anderen Theorie auf und begründen diese auch. So betreibt Mossack Fonseca eine WordPress-Installation, über die Kunden auf interne Daten zugreifen konnten. Die Installation war bis vor kurzem nicht durch eine Firewall geschützt und der betreffende Server lief im gleichen Netzwerk wie der Exchange 2010-Server, über den die E-Mail-Kommunikation lief.

Und in WordPress wurde das WordPress Revolution Slider Plugin verwendet, welches wohl auch veraltet war. Die Sicherheitslücke war seit 2014 bekannt. Die WordFence-Sicherheitsforscher halten es für möglich, dass über dieses Plugin der Hack eingeleitet wurde. Und im Rahmen dieses Hacks erlangte der Angreifer auch Zugriff auf das Netzwerk sowie den E-Mail-Server. Die Details lassen sich in diesem WordFence-Blog-Post nachlesen.

Ob das so stimmt oder die Daten auf anderem Weg erbeutet wurden, ist unerheblich. Der Fall zeigt wieder einmal, dass die IT-Infrastruktur, die öffentlich zugängliche Server und interne Netzwerke nicht trennt, eigentlich immer angreifbar ist. Bekommt natürlich eine besondere Bedeutung, wenn man Pressemitteilungen oder Artikel auf den Tisch bekommt, wo Anbieter versprechen, aus der Buchhaltung die Produktion steuern können zu wollen (siehe z.B. hier).


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Allgemein, Sicherheit, WordPress abgelegt und mit Hack, Mossack Fonseca, Sicherheit, WordPress verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Mossack Fonseca “Panama Papers” per WP-Hack erbeutet?

  1. Ich denke mal das ist eine reine Schutzbehauptung das die Daten aus einem Hack entstammen würden, so kann man intern einfacher in alle Richtungen ermitteln wie die Daten an die SZ-Redaktion gelangt sind.
    Im Endeffekt ist es ziemlich egal woher die Daten entstammen, es ist natürlich für eine Firma die sich in einer Grauzone arbeitet immer Peinlich das solche Daten durch Mitarbeiter oder durch einen Hack Kopiert wurden. Die können wahrscheinlich ihren laden jetzt dicht machen.

  2. Ralf Lindemann sagt:

    Ganz unwichtig ist die Frage nicht, wie die Daten von Mossack Fonseca abgeflossen sind. Sollte ein Insider als Whistle Blower die Daten weitergereicht haben, kann man wohl davon ausgehen, dass der Fall auf Mossack Fonesca begrenzt bleibt. Steckt dagegen ein gezielter Hack dahinter, ist unter Umständen nicht ausschließen, dass in Zukunft weitere Daten anderer Firmen, die ein ähnliches Geschäftsmodell wie Mossack Fonesca betreiben, ans Licht der Öffentlichkeit geraten…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.