{"id":176411,"date":"2016-04-08T08:34:26","date_gmt":"2016-04-08T06:34:26","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=176411"},"modified":"2018-02-23T06:27:02","modified_gmt":"2018-02-23T05:27:02","slug":"mossack-fonseca-panama-papers-per-wp-hack-erbeutet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/04\/08\/mossack-fonseca-panama-papers-per-wp-hack-erbeutet\/","title":{"rendered":"Mossack Fonseca &ldquo;Panama Papers&rdquo; per WP-Hack erbeutet?"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>\u00dcber die Briefkastenfirmen, die von der Kanzlei Mossack Fonseca gegr\u00fcndet und in den \"Panama Papers\" offengelegt wurden, ist die Tage ja viel zu lesen. Aber wo kommen die Daten her? Ein Insider als Whistle Blower oder eher ein banaler Hack?<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/49562c8a9eb24b29ba251b38dd4a7ed8\" width=\"1\" height=\"1\"\/>Mein bisheriger Kenntnisstand: Der S\u00fcddeutsche Zeitung wurden die Daten (2,6 Terabyte) vor einem Jahr aus <a href=\"https:\/\/web.archive.org\/web\/20170822005438\/http:\/\/panamapapers.sueddeutsche.de:80\/articles\/56febff0a1bb8d3c3495adf4\/\" target=\"_blank\">anonymer Quelle zugespielt<\/a>. Die Info hatte ich seit knapp einem Jahr und bin von einem Insider, der aus moralischen Gr\u00fcnden als Whistle Blower fungiert, ausgegangen (war auch erinnerungsm\u00e4\u00dfig die Aussage von Georg Mascolo in \u00f6ffentlichen TV-Auftritten). Aber beim Nachlesen (z.B. <a href=\"http:\/\/www.forbes.com\/sites\/thomasbrewster\/2016\/04\/05\/panama-papers-amazon-encryption-epic-leak\/#2ae862e21df5\" target=\"_blank\">hier<\/a>) ist das nicht mehr klar. Der anonyme Informant \"John Doe\" kommunizierte nur verschl\u00fcsselt, es gab kein Treffen mit den SZ-Redakteuren und die Dateien wurden in VeraCrypt-Containern \u00fcbergeben. <\/p>\n<p>Aber wie wurden die Daten eigentlich erbeutet? Die Kanzlei Mossack Fonseca geht davon aus, dass sie gehackt wurden und will (siehe diesen <a href=\"http:\/\/www.spiegel.de\/politik\/ausland\/panama-papers-mossack-fonseca-stellt-strafantrag-a-1085641.html\" target=\"_blank\">Spiegel Artikel<\/a>) strafrechtlich gegen die \"Verantwortlichen\" des Datenlecks vorgehen. Kann nat\u00fcrlich eine Schutzbehauptung sein.<\/p>\n<h3>Steht ein simpler Hack hinter dem Ganzen?<\/h3>\n<p>Nun geht die Spekulation aber los, wie die Daten an die \u00d6ffentlichkeit gelangen konnten. Von WikiLeaks ist ein Dokument von Mossack Fonseca an seine Kunden \u00f6ffentlich geworden, welches von einem Hack ausgeht.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">\"Oops\" <a href=\"https:\/\/twitter.com\/hashtag\/PanamaPapers?src=hash\">#PanamaPapers<\/a> <a href=\"https:\/\/t.co\/ISwm6II4Hc\">pic.twitter.com\/ISwm6II4Hc<\/a><\/p>\n<p>\u2014 WikiLeaks (@wikileaks) <a href=\"https:\/\/twitter.com\/wikileaks\/status\/716681778107400192\">3. April 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p><a href=\"http:\/\/www.forbes.com\/sites\/thomasbrewster\/2016\/04\/05\/panama-papers-amazon-encryption-epic-leak\/#2ae862e21df5\" target=\"_blank\">Dieser Forbes-Artikel<\/a> vom 5. April 2016 geht von einem Hack aus, \u00fcber den die Daten von der Kanzlei abgeflossen seien. So betreiben die Leute eine WordPress- und eine Drupal-Installation, die etwas \"outdated\" waren (Drupal 7.23 ist wohl seit 3 Jahren \u00fcberholt). Man geht von einem Drupal-Hack aus. The Register <a href=\"http:\/\/www.theregister.co.uk\/2016\/04\/05\/email_server_hack_led_to_mossack_fonseca_leak\/\" target=\"_blank\">schreibt<\/a>, dass ein E-Mail-Server gehackt worden sei. Ein paar Infos finden sich auch <a href=\"http:\/\/www.bbc.com\/news\/world-latin-america-35975503\" target=\"_blank\">bei BBC<\/a>, wobei dort auch ein Insider, der die Daten geleaked hat, .<\/p>\n<h3>M\u00f6gliche Details: WordPress Plugins und weitere Schwachstellen<\/h3>\n<p>Die Sicherheitsleute von WordFence warten mit einer anderen Theorie auf und begr\u00fcnden diese auch. So betreibt Mossack Fonseca eine WordPress-Installation, \u00fcber die Kunden auf interne Daten zugreifen konnten. Die Installation war bis vor kurzem nicht durch eine Firewall gesch\u00fctzt und der betreffende Server lief im gleichen Netzwerk wie der Exchange 2010-Server, \u00fcber den die E-Mail-Kommunikation lief. <\/p>\n<p>Und in WordPress wurde das <em>WordPress Revolution Slider <\/em>Plugin verwendet, welches wohl auch veraltet war. Die Sicherheitsl\u00fccke war seit 2014 bekannt. Die WordFence-Sicherheitsforscher halten es f\u00fcr m\u00f6glich, dass \u00fcber dieses Plugin der Hack eingeleitet wurde. Und im Rahmen dieses Hacks erlangte der Angreifer auch Zugriff auf das Netzwerk sowie den E-Mail-Server. Die Details lassen sich in <a href=\"https:\/\/www.wordfence.com\/blog\/2016\/04\/mossack-fonseca-breach-vulnerable-slider-revolution\/\" target=\"_blank\">diesem WordFence-Blog-Post<\/a> nachlesen. <\/p>\n<p>Ob das so stimmt oder die Daten auf anderem Weg erbeutet wurden, ist unerheblich. Der Fall zeigt wieder einmal, dass die IT-Infrastruktur, die \u00f6ffentlich zug\u00e4ngliche Server und interne Netzwerke nicht trennt, eigentlich immer angreifbar ist. Bekommt nat\u00fcrlich eine besondere Bedeutung, wenn man Pressemitteilungen oder Artikel auf den Tisch bekommt, wo Anbieter versprechen, aus der Buchhaltung die Produktion steuern k\u00f6nnen zu wollen (siehe z.B. <a href=\"http:\/\/www.heise.de\/newsticker\/meldung\/Maschinensteuerung-direkt-aus-der-Buchhaltung-3151203.html\" target=\"_blank\">hier<\/a>). <\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u00dcber die Briefkastenfirmen, die von der Kanzlei Mossack Fonseca gegr\u00fcndet und in den \"Panama Papers\" offengelegt wurden, ist die Tage ja viel zu lesen. Aber wo kommen die Daten her? Ein Insider als Whistle Blower oder eher ein banaler Hack?<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,1574],"tags":[2564,4928,4328,4349],"class_list":["post-176411","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-wordpress","tag-hack","tag-mossack-fonseca","tag-sicherheit","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/176411","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=176411"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/176411\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=176411"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=176411"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=176411"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}