Un plugin non aggiornato di WordPress potrebbe essere stato usato per il più grande furto di dati della storia, oggi battezzato dai giornalisti Panama Papers Breach.
I Panama Papers sono 2.6TB di dati (oltre 11.5 milioni di documenti) sottratti alla Mossack Fonseca, uno studio legale panamense (da cui il nome) e che contengono informazioni circa affari, aziende off-shore, movimenti di denaro e conti correnti ospitati dall’isola centroamericana (famoso rifugio fiscale) di vip e politici di tutto il mondo. Questa mole di dati è finita velocemente nelle mani dei giornalisti, che li stanno spulciano uno ad uno.
Dagli ormai famosi Panama Papers stanno ad esempio emergendo nomi di correntisti bancari, tra cui capi di stato e politici come il presidente Vladimir Putin, il primo ministro islandese Simgmundur Davio Gunnlaugsson (di cui sono state chieste le dimissioni), i familiari del premier britannico David Cameron, il presidente siriano Assad e molti altri, ma anche imprenditori e vip della società civile e dello sport. Tra loro sono emersi anche un centinaio di nomi italiani, tra cui l’imprenditore Luca Cordero di Montezemolo, la presentatrice Barbara D’Urso, il pilota Jarno Trulli, il regista Carlo Verdone (che oggi ha smentito di avere conti esteri) e lo stilista Valentino Garavani.
Ma sia ben chiaro: Avere un conto corrente a Panama non significa automaticamente essere colpevoli di qualcosa. Ognuno è libero di portare il proprio denaro guadagnato legalmente dove vuole.
Sarà cura delle varie magistrature di tutto il mondo capire se esistono situazioni da perseguire nelle aziende off-shore emerse o in qualcuno degli affari venuti a galla (ammesso che ci sia comunque un tribunale che possa utilizzare dati sottratti in questo modo).
Ad oggi non è ancora chiaro come tali dati siano stati sottratti, e non si sa ancora se sia stato un furto dall’interno o se sia stato un hacking esterno (peraltro non ancora rivendicato da nessuno).
Quello che però è certo è che il sito della Mossack Fonseca utilizza WordPress con una versione non aggiornata del plugin Revolution Slider, e che questo plugin è vulnerabile ad attacchi mirati a caricare una shell remota.
Se a questo aggiungiamo il fatto che nello stesso network è collocato il server di posta, e che Mossack Fonseca permetteva l’accesso ai propri clienti a tutti i documenti via portale web abbiamo tutti gli ingredienti per un disastro coi fiocchi.
Mark Maunder sul blog Wordfence ha pubblicato una precisa analisi della vulnerabilità e della situazione sulla sicurezza della Mossack Fonseca, e ha riprodotto un ambiente (con tanto di video demo) di come è possibile sfruttare tale debolezza.
Ripetiamo che non è ancora certo che questo sia stato effettivamente la tecnica utilizzata per il furto di dati, ma sicuramente è una strada che i sistemisti di Mossack Fonseca dovranno valutare.
Quando senti rumore di zoccoli pensa a un cavallo, non a una zebra.
