Papéis do Panamá: versões desatualizadas permitiram ataque

No caso da plataforma de blogging WordPress, o plugin em causa era uma versão vulnerável do Revolution Slider. Esta versão tinha cerca de três meses, continha vulnerabilidades conhecidas e estava alojada no mesmo servidor que os 4,8 milhões de emails disponibilizados aos jornalistas do ICIJ – International Consortium of Investigative Journalists, que divulgou os Papéis do Panamá na semana passada.

A informação detalhada sobre o ataque ao email – a parcela mais densa de informação extraída da Mossack Fonseca – foi avançada pelo blogue dedicado a cibersegurança no WordPress, Wordfence. Ao explorar o plugin, o pirata conseguiu acesso ao site em WordPress. E assim que isso aconteceu, pôde ver os conteúdos do wp-config.php, que armazena as credenciais da base de dados em texto. Um ataque simples usados para aceder à base de dados.

O Wordfence adiantou também que o site, www.mossfon.com, estava a correr dois plugins adicionais. O primeiro era o WP SMTP, que permite enviar emails a partir do site através de um servidor de correio eletrónico e que armazena os endereços e dados de login – se o atacante tem acesso ao site, ganha acesso ao email. O outro plugin era o ALO EasyMail Newsletter, para a gestão de listas de email.

“Um dos conceitos chave da segurança informática é o princípio do privilégio mínimo“, lembra o Wordfence. Por exemplo, as contas de utilizador só devem ter acesso ao que é necessário para cumprirem a sua função. “Será que a Mossack Fonseca configurou estas contas de email do plugin WordPress para que pudessem apenas receber rejeições e enviar emails web?” A sociedade pode ter esquecido o princípio dos privilégios mínimos por uma questão de eficiência dos gestores de conta, mas terá aberto a porta ao ataque que originou o escândalo Papéis do Panamá.

No caso da extração de documentos, o problema esteve na versão Drupal 7.23 do portal usado pelos clientes para acederem aos seus dados. Esta versão da plataforma tem, segundo a notícia da Forbes, 25 vulnerabilidades conhecidas. A Drupal avisou em 2014 sobre uma onda de ataques em sites com base neste código, alertando os utilizadores com versões anteriores à 7.32 para assumirem que tinham sido pirateados. A Mossack Fonseca passou ao lado da informação.