Документите на панамската юридическа кантора Mossack Fonseca са изтекли чрез взлом на остарели версии на CMS системите WordPress и Drupal, твърди публикация на Forbes.
Сайтът на Mossack Fonseca работи под управление на сравнително стара версия на WordPress. Освен това панамската фирма за офшорни услуги е ползвала остарели версии на Drupal, които съдържат критични уязвимости.
На Drupal стъпва допълнителен сайт на Mossack Fonseca, разположен на поддомейн. Той съдържа т.нар. личен кабинет и позволява на клиентите да управляват своите данни. За пробива потвърждава един от основателите на компанията – Рамон Фонсека.
Оказва се, че Mossack Fonseca използва версия Drupal 7.23, излязла преди три години. В нея има 25 известни критични уязвимости, две от които позволяват на хакери да изпълняват произволен код на сървъра.
През 2014 г. разработчикът на Drupal предупреди за серия атаки срещу сайтове под управление на тази CMS и настоя администраторите да обновят незабавно системата, за да не станат жертва на хакери.
Освен това служителите на Mossack Fonseca ползват функция за достъп до е-поща Microsoft Outlook през уеб интерфейс, като не са обновявали услугата от 2009 г. Счита се, че оттам също е направен пробив.
14 коментара
Смях. WordPress и Drupal, както и преобладаващото мнозинство от CMS са писани в PHP. Как точно ще скриеш сорса от атакуващия? 🙂 А и е далеч по-добре кодът да се вижда непрекъснато десетки хиляди компетентни програмисти по цял свят, вместо да се дебъгва от някакъв си аутсорснат някъде си отдел, без каквато и да е помощ от IT-отделите на клиентите, при които всъщност се случват събитията.
И не споменавай Zend или някоя друга такава залъгалка за децата, нито че копие от продукта е трудно да се намери 🙂
Много е наивно и опасно е да се счита, че затвореното решение намалява опасността от бъговете му. Това твърдение идва от изсмуканата от пръстите аргументация на Майкрософт, докато все още водеха войната си срещу GPL… не че са я прекратявали…
Също сме на Друпал но такава простотия скоро не бяхме чували … 🙁
Иначе и аз работя с оупън сорс решения и когато нещо трябва да има достъп отвън, предпочитам да е секюрнато подобавщо и да не е прекалено “оупън сорс”
Не си съвсем прав. Оупън сорс решението има достъп до всички, шанса да откриеш експлойд когато можеш да видиш сорса е много по-голям от едно затворено решение при което освен “брут-форс” и няколко стандартни опита, няма какво друго да правиш. За това и се изразих по този начин.
Проблемът не е в “оупън соурс”, а в “без поддръжка”. Че не са си купили или организирали поддръжка си е напълно тяхна вина.
OS-продуктите разполагат с поддръжка, не по-лоша от другите, при това имаш избор от работещи в конкурентни условия доставчици на услугата. При “затвореното” решение ставаш роб на един производител и си длъжен да подскачаш според неговата тояга.
Anonymous, в такива големи фирми да се ползва оупън соурс решение без подръжка си е направо покана да си изтестваш експлойтите. За това по-добре кастъм мейд.
Разработят им някой сайт с уеб приложение и натоварват сис админа да се заминава и със сайтовете им за да спестят парички от поддръжка.Така типично по български ,пардом панамски има едно IT, което е мрежов администратор,системен, уеб девелопър, хардуерен специалист,ексел гуру и т.н.
Данните на тая фирма не са откраднати. Те са дадени.
Говориш глупости. WordPress и особено Drupal са изключително професионално разработвани CMS и че някой си не ги е поддържал на сървърите си, не намалява стойността им.
А ако говорим принципно за сигурност, единствено OS-решенията заслужават някаква степен на доверие. Чуваме вече и върху тях да се упражнява натиск за вграждане на скрити backdoors, но все пак това е далече по-трудно в отворения код.
Когато обаче атаката се осъществява от професионалисти с неограничен бюджет, _всяка_ система рано или късно рухва.
Чудо, Друпал и УорлдПрес за подобни данни са си чиста проба стиснатост. Не ги съжалявам такива. Като искаш добра CMS най-добре е някой да ти я девелопне, не да се ползват оупън сорс решения.
Ако това е истинската причина, много се радвам, че е така! Лакомия, от една страна и стиснатост от друга или както казваме – каквото повикало, това се обадило.
“Филантропът” Сорос, “безкористно” разбира се, е инвестирал доста милиони в тази кампания. На фона на тези пари, едва ли има система за сигурност, която да компенсира човешката лакомия. Болшинството от хората средна ръка, поставени пред изкушение от няколко хиляди долара ще изпеят необходимите данни.
Бичи лайна. Никой не си държи секретните данни на уеб сървъра.
Имало е вътрешен човек.