Panama Papers waarschijnlijk via WordPressplug-in gestolen
De aanvaller die 11,5 miljoen bestanden van het Panamese juridische advieskantoor Mossack Fonseca wist te stelen, beter bekend als de Panama Papers, heeft waarschijnlijk een bekend lek in een populaire WordPressplug-in gebruikt. Dat stellen de ontwikkelaars van Wordfence, ook een WordPressplug-in.
De Panama Papers laten zien hoe politici, sporters en andere bekendheden miljarden in belastingparadijzen stallen. De Süddeutsche Zeitung zou de bestanden via een anonieme bron hebben verkregen. Het gaat om 2,6TB aan data. De 11,5 miljoen documenten bestaan uit 4,8 miljoen e-mails, 3 miljoen databasebestanden, 2,1 miljoen pdf-documenten, 1,1 miljoen afbeeldingen en 320.00 tekstdocumenten.
Volgens Mark Maunder van Wordfence draaide de website van Mossack Fonseca op WordPress en had een kwetsbare versie van de Revolution Sliderplug-in geïnstalleerd. De WordPress-server draaide op hetzelfde netwerk als hun e-mailserver toen de hack plaatsvond. Het lek in Revolution Slider wordt al sinds 2014 aangevallen. Naast Revolution Slider had het adviesbureau ook twee plug-ins voor het beheren van nieuwsbrieven en versturen van e-mail geïnstalleerd Deze plug-ins hebben toegang tot de e-mailserver en bewaren de inloggegevens voor de server in platte tekst in de WordPressdatabase.
Maunder merkt op dat de aanvaller waarschijnlijk via de kwetsbaarheid in Revolution Slider toegang tot WordPress gekregen. Hiermee kreeg hij ook toegang tot de WordPressdatabase. Via de database kon de aanvaller vervolgens het adres van de mailserver en benodigde inloggegevens achterhalen. Mossack Fonseca heeft nog niet laten weten hoe de aanvaller precies toegang tot de gegevens wist te krijgen, maar in een e-mail aan klanten werd wel over een mogelijke hack van de mailserver gesproken.
Panama Papers: Email Hackable via WordPress, Docs Hackable via Drupal
2,6 terabyte trek je niet zomaar even door het lijntje, zelfs al zou dit glasvezel zijn, al betwijfel ik het laatste.
Dit moet dagen hebben geduurd.
Natuurlijk is het dan niet meer mogelijk voor een derde partij om zomaar even een plug-in te verkopen want deze zal dan niet in die database staan, deze zal eerst naar de maker van de CMS moeten worden verzonden.. Vrij lastige en omslachtige situatie dus. Het is kiezen tussen wat minder gebruiksvriendelijkheid of een plug-in systeem dat alles toestaat en ervoor zorgt dat een paar miljoen websites een risico lopen omdat de derde partij (maker van de plug-in) erg lax is wat betreft beveiliging.
Ik erger me er vaak genoeg aan hoe weinig kennis sommige "webdevelopers" hebben in het beveiligings vakgebeid. Wat dus als resultaat heeft dat door een stomme fout zoals het niet sanitizing van user-input duizende Joomla of Wordpress websites allemaal rouge requsts maken om zo een (distributed) deniel of service te kunnen uitvoeren.. Vaak duurt het ook nog eens een halve centennium in IT jaren voordat de webmaster erachter komt dat er iets mis is, lol. Vermoedelijk gebeurd dit wanneer de host op zijn flikker valt, of de bandwidth enorm is gestegen.. In ieder geval veel te laat dus.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
