Mossack Fonseca “Panama Papers” per WP-Hack erbeutet?

Über die Briefkastenfirmen, die von der Kanzlei Mossack Fonseca gegründet und in den "Panama Papers" offengelegt wurden, ist die Tage ja viel zu lesen. Aber wo kommen die Daten her? Ein Insider als Whistle Blower oder eher ein banaler Hack?

Mein bisheriger Kenntnisstand: Der Süddeutsche Zeitung wurden die Daten (2,6 Terabyte) vor einem Jahr aus anonymer Quelle zugespielt. Die Info hatte ich seit knapp einem Jahr und bin von einem Insider, der aus moralischen Gründen als Whistle Blower fungiert, ausgegangen (war auch erinnerungsmäßig die Aussage von Georg Mascolo in öffentlichen TV-Auftritten). Aber beim Nachlesen (z.B. hier) ist das nicht mehr klar. Der anonyme Informant "John Doe" kommunizierte nur verschlüsselt, es gab kein Treffen mit den SZ-Redakteuren und die Dateien wurden in VeraCrypt-Containern übergeben.

Aber wie wurden die Daten eigentlich erbeutet? Die Kanzlei Mossack Fonseca geht davon aus, dass sie gehackt wurden und will (siehe diesen Spiegel Artikel) strafrechtlich gegen die "Verantwortlichen" des Datenlecks vorgehen. Kann natürlich eine Schutzbehauptung sein.

Steht ein simpler Hack hinter dem Ganzen?

Nun geht die Spekulation aber los, wie die Daten an die Öffentlichkeit gelangen konnten. Von WikiLeaks ist ein Dokument von Mossack Fonseca an seine Kunden öffentlich geworden, welches von einem Hack ausgeht.

"Oops" #PanamaPapers pic.twitter.com/ISwm6II4Hc

— WikiLeaks (@wikileaks) 3. April 2016

Dieser Forbes-Artikel vom 5. April 2016 geht von einem Hack aus, über den die Daten von der Kanzlei abgeflossen seien. So betreiben die Leute eine WordPress- und eine Drupal-Installation, die etwas "outdated" waren (Drupal 7.23 ist wohl seit 3 Jahren überholt). Man geht von einem Drupal-Hack aus. The Register schreibt, dass ein E-Mail-Server gehackt worden sei. Ein paar Infos finden sich auch bei BBC, wobei dort auch ein Insider, der die Daten geleaked hat, .

Mögliche Details: WordPress Plugins und weitere Schwachstellen

Die Sicherheitsleute von WordFence warten mit einer anderen Theorie auf und begründen diese auch. So betreibt Mossack Fonseca eine WordPress-Installation, über die Kunden auf interne Daten zugreifen konnten. Die Installation war bis vor kurzem nicht durch eine Firewall geschützt und der betreffende Server lief im gleichen Netzwerk wie der Exchange 2010-Server, über den die E-Mail-Kommunikation lief.

Und in WordPress wurde das WordPress Revolution Slider Plugin verwendet, welches wohl auch veraltet war. Die Sicherheitslücke war seit 2014 bekannt. Die WordFence-Sicherheitsforscher halten es für möglich, dass über dieses Plugin der Hack eingeleitet wurde. Und im Rahmen dieses Hacks erlangte der Angreifer auch Zugriff auf das Netzwerk sowie den E-Mail-Server. Die Details lassen sich in diesem WordFence-Blog-Post nachlesen.

Ob das so stimmt oder die Daten auf anderem Weg erbeutet wurden, ist unerheblich. Der Fall zeigt wieder einmal, dass die IT-Infrastruktur, die öffentlich zugängliche Server und interne Netzwerke nicht trennt, eigentlich immer angreifbar ist. Bekommt natürlich eine besondere Bedeutung, wenn man Pressemitteilungen oder Artikel auf den Tisch bekommt, wo Anbieter versprechen, aus der Buchhaltung die Produktion steuern können zu wollen (siehe z.B. hier).