Причиной утечки панамских документов могли быть уязвимые версии WordPress и Drupal
Издание Forbes не исключило, что утечка конфиденциальных документов панамской юридической компании Mossack Fonseca, вскрывшая скрытые активы многих известных политических деятелей, могла произойти вследствие взлома сайта компании, на котором применялись устаревшие версии открытых платформ WordPress и Drupal, содержащие ряд серьёзных уязвимостей.
В частности, основной сайт компании работал на движке WordPress 4.1, выпущенном в декабре 2014 года, и использовал несколько устаревших скриптов и плагинов. Тема оформления для WordPress была основана на пакете Twenty Eleven 1.5, выпущенном три года назад. Портал для клиентов компании работал на движке Drupal 7.23, при этом для публичного доступа были открыты файлы, позволяющие получить дополнительную информацию о системе, такие как CHANGELOG.txt. Движок Drupal на сайте portal.mossfon.com не обновлялся уже три года, за которые было выпущено 25 обновлений с устранением проблем с безопасностью.
Например, в движке Drupal оставались неисправленным уязвимости, позволяющие войти под другим пользователем, получить полный доступ к системе и осуществить подстановку SQL-кода. В WordPress наблюдались уязвимости, позволяющие осуществить подстановку на страницу кода JavaScript, который мог использоваться для перехвата параметров доступа к интерфейс администратора. Из возможных векторов атаки также рассматривается применение сотрудниками компании устаревшей версии Microsoft Outlook Web Access, выпущенной в 2009 году, без применения шифрования переписки.
© OpenNet