«Панамские бумаги» могли утечь из-за использования старых версий Drupal и WordPress
Журналисты раскопали технические подробности, связанные с неряшливым обеспечением информационной безопасности компании Mossack Fonseca, ставшей центральной фигурой недавнего скандала. Разоблачение, названное журналистами «Панамскими досье», связано с оффшорными миллиардами сильных мира сего, которые указанная компания помогала скрывать от налоговых инспекций и прочих назойливых глаз.
В результате возможного взлома к третьим лицам утекло 11,5 миллионов документов общим объёмом 2,6 Тб, содержащих информацию о 214000 подставных компаний, и протянувшихся во времени с 1977 по 2015 года, что в принципе стало самым большим по объёму событием в истории утечек секретной информации.
Но, несмотря на то, что интернет появился не вчера, история всё время повторяется. Видимо, прав был русский историк Василий Осипович Ключевский, написавший: «История — это не учительница, а надзирательница: она ничему не учит, но сурово наказывает за незнание уроков».
Журналисты из Forbes обнаружили у компании Mossack Fonseca элементарное пренебрежение простейшими мерами безопасности. 1 апреля компания разослала клиентам письмо с уведомлением о взломе их сервера электронной почты.
«Oops» #PanamaPapers pic.twitter.com/ISwm6II4Hc
— WikiLeaks (@wikileaks) 3 апреля 2016 г.
Доступ к серверу осуществляется через устаревший Microsoft Outlook Web Access от 2009 года. Электронная почта передавалась от компании к клиентам незашифрованной. На основном сайте компании до сих пор стоит WordPress версии трёхмесячной давности. А портал для клиентов работает под управлением CMS Drupal 7.23 — этой версии вообще уже три года. К сегодняшнему дню в ней насчитали 25 известных уязвимостей.
Хотя небрежность в обеспечении компьютерной безопасности компании налицо, стали ли эти уязвимости причиной утечки информации — сказать невозможно. Все данные были переданы анонимным источником, общавшимся с журналистами посредством зашифрованных чатов (первоначально — с репортёром Бастианом Обермайером [Bastian Obermayer] из газеты Süddeutsche Zeitun).
Журналисты разместили полученные данные на нескольких жёстких дисках, в зашифрованном виде. Шифрование обеспечила программа VeraCrypt — наследник известного продукта TrueCrypt. После этого для обеспечения доступа консорциуму из более чем 400 журналистов (International Consortium of Investigative Journalists), «досье» залили на облачное хранилище от Amazon.
Теперь несколько сотен избранных журналистов имеют возможность постепенно изучать базу данных — для поиска по ней была установлена платформа Solr от Apache. Меры предосторожности, включающие двухфакторную аутентификацию на сайте-компаньоне, где журналисты могут делиться друг с другом найденными в море информации жемчужинами, судя по всему, превосходят те, что были приняты в самой компании Mossack Fonseca.
Консорциум журналистов продолжает пополнять специальный сайт «Панамских досье», где в наглядном виде представлено, «кто есть кто» в мире больших оффшорных денег. В свободном доступе из всех миллионов документов пока появилось лишь 150. Полный список упомянутых в досье компаний консорциум обещает опубликовать в мае 2016.
Реакция СМИ на крупнейшую в истории утечку оказалась различной. Многие западные издания поспешили заявить о «миллиардах Путина», хотя его фамилия в документах не упоминается. Журналист The Guardian подсчитал, что спрятанные в оффшорах от налогов деньги американских политиков и богачей с лихвой могли бы обеспечить безусловный доход для всех граждан США. Отдельные аналитики считают, что весь скандал является только лишь PR-компанией оффшоров нового поколения — подконтрольных США.