Abo
  • Services:
Anzeige
Protestschild: Wir haben kein Konto in Panama. Viele Firmen hingegen schon.
Protestschild: Wir haben kein Konto in Panama. Viele Firmen hingegen schon. (Bild: Marcos Brindicci/Reuters)

Panama Papers: Die katastrophale IT-Sicherheitspraxis von Mossack Fonseca

Protestschild: Wir haben kein Konto in Panama. Viele Firmen hingegen schon.
Protestschild: Wir haben kein Konto in Panama. Viele Firmen hingegen schon. (Bild: Marcos Brindicci/Reuters)

Der Panama-Leaks-Firma Mossack Fonseca ist offenbar nicht nur das Steuerrecht herzlich egal - sondern auch die IT-Security. Kein TLS, Drown und uralte Versionen von Drupal und Outlook Web Access machen es Angreifern leicht.

Das Unternehmen Mossack Fonseca hat offenbar gewaltig bei der IT-Sicherheit geschlampt - und könnte so zum Abfluss der Dokumente beigetragen haben, wie Wired berichtet. Nach wie vor ist unklar, ob die Dokumente von einem Insider an Medien weitergegeben wurden oder ob es sich um einen Einbruch in die Computersysteme des Unternehmens handelt. Die IT des Unternehmens war aber offenbar so nachlässig konfiguriert, dass Angreifer leichtes Spiel gehabt hätten. Die Enthüllungen sorgen unterdessen für Unruhen in Island: Dort wird über Schrödingers Premierminister gerätselt.

Anzeige

So benutzte das Unternehmen zum Zugriff auf die internen E-Mails eine veraltete Version von Outlook Web Access aus dem Jahr 2009, die seit 2013 nicht mehr mit Updates versorgt wurde. Eine PGP-Verschlüsselung der E-Mails fand ebenso wenig statt wie eine Transportverschlüsselung mit TLS, wie Christopher Soghoian von der US-Bürgerrechtsorganisation ACLU schreibt.

Drown und SQL-Injektionen

Nicht viel besser sieht es bei der Webseite des Unternehmens und dem Kundenportal aus. Die Webseite selbst läuft auf einer drei Monate alten Version von Wordpress. Auch das auf Drupal basierende Kundenportal weist nach Einschätzungen von IT-Experten zahlreiche Sicherheitslücken auf, derzeit könnten 25 bekannte Schwachstellen attackiert werden. Über das Portal sollen Kunden "geschäftliche Informationen überall und allerorten" einsehen können. Unter den Drupal-Schwachstellen befindet sich auch eine Anfälligkeit für SQL-Injektionen.

Angreifer hätten außerdem die Dateistruktur des Servers einsehen können, sagen Sicherheitsforscher. Teile des Backends können offenbar einfach aufgerufen werden, indem die URLs der betreffenden Seiten geraten werden.

Auch hier wurde das System im Jahr 2013 das letzte Mal aktualisiert. Außerdem ist das Portal für den Drown-Angriff verwundbar, auch wenn diese Schwachstelle für einen Hack der Server zu spät entdeckt wurde. Es zeigt aber, dass das Unternehmen offenbar keinen großen Wert auf eine aktive und funktionierende IT-Abteilung legt.

In einer Mail an die Kunden widerspricht Mossack Fonseca der Insider-Theorie. Vielmehr sei das Unternehmen Ziel eines Hackerangriffs gewesen. Die veröffentlichten Dokumente seien aus dem Kontext gerissen worden. Aus diesem Grund habe das Unternehmen auch Strafantrag gestellt.

Es gibt Kritik an den Veröffentlichungen 

eye home zur Startseite
User_x 13. Apr 2016

eben, kann. kann man aber auch mit einem stein... das abendland hat damit bestimmt...

Ebola 10. Apr 2016

Die haben einfach mal die Festplatten getauscht und die alten auf EBay verramscht...

quadronom 09. Apr 2016

Du solltest dir vielleicht erst einmal anschauen, wie das funktioniert. Und dann würdest...

quasides 09. Apr 2016

weniger geizu oft ist das einfach absolute überforderung und inkompetente beratung. und...

semperfidelis 08. Apr 2016

Ich finde ein 3 Monate altes WordPress gar nicht so veraltet und ok Outlook WebAccess von...



Anzeige

Stellenmarkt
  1. Zweckverband Kommunale Datenverarbeitung Region Stuttgart, Stuttgart
  2. KEB Automation KG, Barntrup
  3. Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM), Bonn
  4. Deutsche Bundesstiftung Umwelt, Osnabrück


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. Airport Guide Robot

    LG lässt den Flughafenroboter los

  2. Biometrische Erkennung

    Delta lässt Passagiere mit Fingerabdruck boarden

  3. Niantic

    Keine Monster bei Pokémon-Go-Fest

  4. Essential Phone

    Rubins Smartphone soll "in den kommenden Wochen" erscheinen

  5. Counter-Strike Go

    Bei Abschuss Ransomware

  6. Hacking

    Microsoft beschlagnahmt Fancy-Bear-Infrastruktur

  7. Die Woche im Video

    Strittige Standards, entzweite Bitcoins, eine Riesenkonsole

  8. Bundesverkehrsministerium

    Dobrindt finanziert weitere Projekte zum autonomen Fahren

  9. Mobile

    Razer soll Smartphone für Gamer planen

  10. Snail Games

    Dark and Light stürmt Steam



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kryptowährungen: Bitcoin steht vor grundlegenden Änderungen
Kryptowährungen
Bitcoin steht vor grundlegenden Änderungen
  1. Drogenhandel Weltweit größter Darknet-Marktplatz Alphabay ausgehoben
  2. Kryptowährungen Massiver Diebstahl von Ether
  3. Kryptowährung Bitcoin notiert auf neuem Rekordhoch

Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie

IETF Webpackage: Wie das Offline-Internet auf SD-Karte kommen könnte
IETF Webpackage
Wie das Offline-Internet auf SD-Karte kommen könnte
  1. IETF DNS wird sicher, aber erst später
  2. IETF Wie TLS abgehört werden könnte
  3. IETF 5G braucht das Internet - auch ohne Internet

  1. Re: Darum Internetspiele immer nur Isoliert...

    Benutzer0000 | 01:36

  2. Re: Einfach Unfähig

    Pfirsich_Maracuja | 01:14

  3. Re: 18¤ für ein mobiles Mädchenspiel?

    xtrem | 00:15

  4. Re: Eintritt

    Yetei | 00:05

  5. Re: Wer bisher nicht zufrieden mit Ue4 games war...

    plutoniumsulfat | 23.07. 23:43


  1. 15:35

  2. 14:30

  3. 13:39

  4. 13:16

  5. 12:43

  6. 11:54

  7. 09:02

  8. 16:55


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel