英国《连线》(Wired UK)杂志引述网络安全专家消息称,巴拿马莫萨克丰塞卡律师事务所的电脑系统保安过时,且充斥着安全漏洞。
. q1 e. q# o" `% ~2 r& l# E
2 k9 B0 p. S; j% x$ P$ O 一名专家称,该律师行“惊人地”置网络保安于不顾,例如律师行自2009年以来就没再更新Outlook Web Access登录、自2013年以来就没再更新客户登录入门网。& g7 U- |- i5 P! ~6 |7 ~6 i8 R5 L4 P9 B
+ W+ `/ A1 P8 e1 ]9 a0 _" M2 t+ C 专家称,律师行的客户入门网易遭受DROWN攻击。安全漏洞DROWN是一个典型的跨协定攻击(cross protocol attack),黑客通过SSL v2协定漏洞去攻击采用TLS协定的安全连结。黑客可破解加密传输,读取机密流量、密码、信用卡号码或金融等资料。, g2 l. v0 J5 z6 O$ }% N# ~
; Y1 }/ K- q3 b# a% G
SSL v2协定和TLS协定是一种网络加密协定,是网页浏览和安全使用互联网服务的必要保安措施。
; z) |9 Z- O/ N1 j$ ^9 {0 G
# d" q6 a( |0 A, a: i 律师行官网称,其客户信息入门网提供“安全线上账户”,让客户“可随时随地获取公司信息”。然而,其客户信息入门网采用的Drupal内容管理系统有至少25个安全漏洞。
* n1 a. v- B) I" u7 x& D3 }7 _5 e8 L+ k0 A' t
一个匿名消息人士说:“这显示了他们设置服务器的方式,以及他们设置网站的方式,并不是最安全的做法。”
- |7 u" p9 L3 J
" M' c4 t' S# v; V 英国萨里大学电脑安全专家艾伦·伍德沃德(Alan Woodward)说,莫萨克丰塞卡律师事务所官网的前端看起来“极其”过时。“我无法理解这一点。以Outlook Web Access为例,如果你定期更新你的Exchange服务器,这自然会更新。”
# ?; a P8 a4 ?0 ~) @1 t+ U
& {1 K5 u4 c, ?# a n 他也说:“他们似乎陷入一种时间隧道。他们使用这种过时的技术通信,如果我是他们的客户,我会很担心。”7 c) P/ S8 V3 [6 U
: G+ O5 r/ ?9 l) b2 m, a 隐私专家克里斯托弗·索戈扬(Christopher Soghoian)指出,律师行的电子邮件没有加密。4 Y& G( x+ p" z j
8 c9 Q1 S3 V+ V# }. k7 ?" H9 O
伦敦大学学院信息安全研究主任安吉拉·萨瑟(Angela Sasse)说:“鉴于他们所处的行业,我很惊讶他们没有想过更好地对电子邮件加密。对于风险和这些服务极易被攻击的认知显然并不存在。”
! F( a3 \* p6 D$ Z2 p: y5 M& c
5 F3 ~' `) Z& D7 b% P8 k 莫萨克丰塞卡律师事务所创办人之一拉蒙·丰塞卡(Ramon Fonseca)6日接受路透社专访时承认,律师行文件外泄,是外国黑客所为。律师行正在对可能的安全漏洞进行调查。* p5 E* N: T' L& T- ] D( |
# K; H: z K4 J( T6 O& _
律师行在一份发给客户的电子邮件中承认,电子邮件服务器遭到“未授权侵入”。! |: q$ g% T! _
2 g0 S8 g+ g( F3 C' X& C( a; ^- f
不过,专家对于什么人入侵了律师行服务器没有一致看法。* c8 ]# W0 |/ q: g5 S/ C6 S3 h
4 z, i0 O# O7 v# F
英国肯特大学计算机系高级讲师埃克·博伊滕(Eerke Boiten)认为可能是内鬼入侵了服务器。“我们知道是非常多的数据,是一点一点流出来的。一个拥有足够权限的局内人可以看到所有数据,但没有足够权限可以快速地将数据抄录在一片光盘里。”
8 }5 ^; b$ ]0 S1 y* s4 Q
% H1 p, ?2 g; L. q0 F% q 伍德沃德则认为,律师行服务器的漏洞让任何人都可以对其进行扫描和截取数据。他不排除黑客入侵可能是国家所为的可能性。
* l+ ]. U& ?8 e; J( G+ Q( W9 ~ T# p1 E) A2 D9 _) R
他说:“若要打*,我打*可能是有外部黑客凑巧入侵服务器,被他们所看到的数据所震撼和将之泄漏出去,但我也打*有可能是厌倦了避税的国家所为。”
$ G" p5 q0 O8 t4 q
6 y% y! p. P5 e. H/ V2 p) Q' u 率先获得这批数据的德国《南德意志报》称,他们与泄密者在2014年年底通过加密通信进行沟通,泄密者警告他们是“冒着生命危险”分享莫萨克丰塞卡律师事务所的数据。被问及他们有多少数据时,他们回应称“比你见过的还要多”。
( O. `# T3 c6 q, ~3 [! ?
9 |1 Y6 Q' Z" r% ^. Q) ~( | 这批数据容量高达2.6太字节(Terabyte),在将近一年时间内一点一点地流传出去。这批数据共有1150万份文件,详细记录了21万4488家离岸公司的情况,包括电邮、合同、文件扫描和文字本。若以文档类别区分,有480万份电邮、300万份数据库文件、210万份PDF文件、110万份图像、 32万零166份文本文件(text file)和2242份其他格式文件。所有文件分门别类存放在以离岸公司名称命名的文件夹里
* O6 f y" C7 _. L+ H. L
1 t" r/ I) C4 z5 C: ]9 b% b' Y |
