Hồ sơ Panama rò rỉ vì Mossack Fonseca không giỏi bảo mật

Hãng luật Mossack Fonseca đã tuyên bố vụ rò rỉ Hồ sơ Panama chứa hơn 11,5 triệu tài liệu là do hacker từ bên ngoài đột nhập đánh cắp.
Hồ sơ Panama rò rỉ vì Mossack Fonseca không giỏi bảo mật

(SGGPO).- Hãng luật Mossack Fonseca đã tuyên bố vụ rò rỉ Hồ sơ Panama chứa hơn 11,5 triệu tài liệu là do hacker từ bên ngoài đột nhập đánh cắp.

Hồ sơ Panama rò rỉ vì Mossack Fonseca không giỏi bảo mật ảnh 1

 Hơn 11,5 triệu tài liệu mật của Mossack Fonseca bị đánh cắp. Ảnh minh họa

Trang tin công nghệ Gizmodo cho biết, các báo cáo gần đây đã chỉ ra một đăng nhập Outlook lỗi thời và phần mềm cổng thông tin điện tử (web portal) là các điểm yếu an ninh của mạng Mossack Fonseca. Một báo cáo mới đã tập trung vào Revolution Slider, một trình bổ trợ (plugin) hệ quản trị nội dung (CMS) Wordpress.

Wordfence, một công ty an ninh Wordpress cho biết, website Mossack Fonseca sử dụng một phiên bản plugin cũ có các lỗ hổng đã được phát hiện, cho phép người dùng không có quyền cũng dễ dàng tải các tập tin và tập lệnh (script, tập tin tự động chạy) lên các máy chủ của website và có thể truy cập máy chủ đó. Wordfence mô tả việc khai thác các lỗ hổng này "rất dễ dàng".

"Khó nói chính xác những gì đã xảy ra nhưng báo cáo này có cơ sở. WordPress và các CMS khác đều bị tấn công liên tục. Một website càng sử dụng nhiều phần mở rộng và phần mềm của các bên thứ ba sẽ càng khó khăn để bảo vệ", Jerome Segura của Malwarebytes nói với Gizmodo.

Là một hãng luật rất giỏi che giấu tiền cho khách hàng khắp thế giới nhưng Mossack Fonseca rõ ràng rất dở che giấu dữ liệu. Wordfence cho biết, các email của Mossack Fonseca được lưu trữ trên đúng máy chủ có thể dễ dàng truy cập bằng cách khai thác lỗ hổng Revolution Slider, chỉ cần tải lên một tập lệnh ngắn là có thể tải các email. Điều đó cũng như bạn giữ tất cả tiền bạc trong tài khoản duy nhất và đặt mật mã là 1-2-3-4.

Wordfence cũng cho biết, cho đến rất gần đây, website Mossack Fonsenca không được bảo vệ bằng tường lửa, một biện pháp an ninh có thể đã ngăn chặn hoặc ít nhất đã hạn chế lượng dữ liệu rò rỉ.

Theo tạp chí công nghệ Wired, Mossack Fonseca đã không thay đổi đăng nhập web portal của họ trong 3 năm, trong khi nhiều công ty bắt buộc thay đổi mật khẩu, thường mỗi 30 ngày. Máy chủ web portal Mossack Fonseca còn dùng SSL v2 , một phương thức bảo mật lỗi thời dễ bị tấn công DROWN, lỗ hổng nghiêm trọng trên dịch vụ OpenSSL được phát hiện cuối tháng 2-2016, có thể bị khai thác dễ dàng để giải mã thông tin cá nhân trên website.

Phiên bản CMS Drupal mà Mossack Fonseca sử dụng đã được 3 tuổi và có hàng chục lỗ hổng đã được phát hiện. Đăng nhập Microsoft Outlook của Mossack Fonseca cũng đã không được cập nhật từ năm 2009. Mossack Fonseca đã không phản hồi Gizmodo về các yêu cầu bình luận vấn đề bảo mật của hãng.

THIỆN NGUYỄN

Tin cùng chuyên mục