Scandalo Panama Papers, WordPress e Drupal non aggiornati possibili cause dell'hack

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...ack_62009.html

Una manutenzione inesistente dei siti di Mossack Fonseca potrebbe essere stata la causa che ha permesso ai leaker di ottenere i file dello scandalo Panama Papers

Click sul link per visualizzare la notizia.

[Noir79]

Ma LOL... qualche sviluppatore sta passando un brutto quarto d'ora!!

[Avatar0]

Voleranno teste alla Mossacoso... letteralmente.

Quote:

Panama Papers è al momento in cui scriviamo la più grande perdita di dati mai vista dall'umanità

Messa così sembra il fallout di una centrale nucleare.

Quella parte di mondo che conta continuerà a dormire tranquilla; quei 2 cristi che si occupavano della sicurezza dei dati, avranno gli incubi per il resto della loro ultima settimana di vita.

PS: Panama papers sembra la marca di una carta igenica

[MaxVIXI]

hahahahaha.......

si parla di 214.000 "società" che controllerebbero il 2/3% del Pil mondiale... e lo studio che ha crato questo castello ci carte è andato a risparmiare sugli aggiornamenti XD... ma LOL!!!

[les2]

ma che cavolata! come se il lick dei dati possa davvero provenire da un WP o drupal...

[evil weasel]

Quote:

Originariamente inviato da les2

ma che cavolata! come se il lick dei dati possa davvero provenire da un WP o drupal...

Non ci sarebbe da stupirsi se il server web e quello di posta fossero stati sulla stessa rete (in cui magari era anche presente un NAS senza credenziali di accesso).

[mauriziogl]

Anche a me pare impossibile che un'agenzia del genere che fa girare miliardi di dollari con dati di aziende e persone che per ovvi motivi non vogliono permettere la divulgazione dei dati, sia fatto su wp e non abbiano sistemisti e server di alto livello. È impossibile a mio parere. Credo che sia il primo pensiero ( oltre al risparmio di tasse), per clienti che devono nascondere tanti soldi o far giri strani.

[leddlazarus]

giusto cosi...intanto sono tutti soldi frutto di manovre illecite e poco legali.

[battilei]

Quote:

Originariamente inviato da leddlazarus

giusto cosi...intanto sono tutti soldi frutto di manovre illecite e poco legali.

No, non è assolutamente detto.

Invece accusare qualcuno di aver commesso reati, potrebbe essere diffamazione.

Quote:

Originariamente inviato da mauriziogl

Anche a me pare impossibile che un'agenzia del genere che fa girare miliardi di dollari con dati di aziende e persone che per ovvi motivi non vogliono permettere la divulgazione dei dati, sia fatto su wp e non abbiano sistemisti e server di alto livello. È impossibile a mio parere. Credo che sia il primo pensiero ( oltre al risparmio di tasse), per clienti che devono nascondere tanti soldi o far giri strani.

eh già, tanto più che sembrano esserci lacune nei dati, mancano certe nazionalità.

PS: morale della favola: tutti nel paradiso fiscale del Delaware, che gli americani i lavori sporchi li fanno per bene

[Sunburp]

Quote:

Originariamente inviato da les2

ma che cavolata! come se il lick dei dati possa davvero provenire da un WP o drupal...

Chi è che ha leccato cosa?!?!?

[alexdal]

Sicuramente usano pc con XP

[Tasslehoff]

Se anche fosse a me non sorprenderebbe più di tanto.
Quasi certamente i gestori di quei servizi (ammesso che ci siano e non siano stati pubblicati e abbandonati in mano a chi inserisce e gestisce i contenuti) non saranno interni alla società che li utilizza, saranno stati dati in gestione a società esterne con appalti e subappalti multipli, dove ognuno si tiene una fettina, lasciando le briciole all'ultimo anello della catena che si deve sobbarcare tutto il lavoro (di cui noi non sappiamo nulla, giusto per anticipare la solita risposta del tipo "che ci vuole ad aggiornare wordpress? Lo fa anche mio cugino su Aruba" )

Parlare di sito in wordpress o drupal è molto riduttivo e fuorviante imho, il frontend potrà anche essere stato quello ma non è realistico gestire una quantità tale di dati, documenti e quant'altro con un cms del genere, non è roba che si può fare con quegli strumenti.
Quasi certamente sarà stato utilizzato qualche altro software (es di gestione documentale) per conservare e utilizzare una tale mole di dati, credo sia più realistico concentrarsi su quella (di cui non sappiamo nulla) piuttosto che gridare allo scandalo per una versione di Wordpress non aggiornata.

[Cfranco]

Quote:

Originariamente inviato da mauriziogl

Anche a me pare impossibile che un'agenzia del genere che fa girare miliardi di dollari con dati di aziende e persone che per ovvi motivi non vogliono permettere la divulgazione dei dati, sia fatto su wp e non abbiano sistemisti e server di alto livello. È impossibile a mio parere.

Tu non conosci le banche
Hanno i soldi che gli escono dalle orecchie, ma quando si tratta di sistemisti appaltano alle aziende degli amici i quali subappaltano a "ferramenta Peppino vendita mouse usati"

[jeremy.83]

Quote:

Originariamente inviato da Tasslehoff

Se anche fosse a me non sorprenderebbe più di tanto.
Quasi certamente i gestori di quei servizi (ammesso che ci siano e non siano stati pubblicati e abbandonati in mano a chi inserisce e gestisce i contenuti) non saranno interni alla società che li utilizza, saranno stati dati in gestione a società esterne con appalti e subappalti multipli, dove ognuno si tiene una fettina, lasciando le briciole all'ultimo anello della catena che si deve sobbarcare tutto il lavoro (di cui noi non sappiamo nulla, giusto per anticipare la solita risposta del tipo "che ci vuole ad aggiornare wordpress? Lo fa anche mio cugino su Aruba" )

Parlare di sito in wordpress o drupal è molto riduttivo e fuorviante imho, il frontend potrà anche essere stato quello ma non è realistico gestire una quantità tale di dati, documenti e quant'altro con un cms del genere, non è roba che si può fare con quegli strumenti.
Quasi certamente sarà stato utilizzato qualche altro software (es di gestione documentale) per conservare e utilizzare una tale mole di dati, credo sia più realistico concentrarsi su quella (di cui non sappiamo nulla) piuttosto che gridare allo scandalo per una versione di Wordpress non aggiornata.

Tutto vero, però come ha detto qualcuno prima, se la vulnerabilità era in Wordpress e stava nella stessa sottorete o addirittura nello stesso server di altri sistemi, il danno è già bello che fatto.

Non mi stupirei inoltre se non avessero modificato il codice sorgente di quei CMS per i loro scopi, in tal caso è difficile fare gli aggiornamenti. Ma se è andata così, se la sono andata a cercare

[ziobepi]

Hanno risparmiato con l'opensource, insomma

[Zenida]

Quote:

Originariamente inviato da les2

ma che cavolata! come se il lick dei dati possa davvero provenire da un WP o drupal...

Lick my
LICK

Troppo youporn ragazzo

[Notturnia]

2,6 tera di dati e nessuno si è accorto del problema ?.. Ora non so che rete avessero ma non è un download da 10 minuti.. Ci saranno voluti giorni e nessuno ha notato traffico anomalo ?..
Bah.. Bella sicurezza..

[LMCH]

Quote:

Originariamente inviato da Notturnia

2,6 tera di dati e nessuno si è accorto del problema ?.. Ora non so che rete avessero ma non è un download da 10 minuti.. Ci saranno voluti giorni e nessuno ha notato traffico anomalo ?..
Bah.. Bella sicurezza..

E' uno studio legale con 500 dipendenti e 46 sedi sparse sul pianeta che si occupano di pratiche ed altro per un fottio di clienti internazionali, quindi con un download progressivo nel giro di qualche settimana non devono aver avuto problemi a nascondersi nel resto del traffico dati, specialmente se c'erano eventuali backup/sicronizzazioni dei database da/per le sedi periferiche o cose simili.

[Pier2204]

Mossack Fonseca... sembra la marca di un caffè locale, con molta arabica

Negli scorsi giorni si è parlato dei potenziali errori condotti dalla Mossack Fonseca, fra cui l'uso di versioni desuete di Microsoft Outlook Web Access con email non protette da crittografia o di versioni obsolete dei software open-source utilizzati come struttura dei siti della società.

A Panama si fa colazione con il Rum e si pasteggia con la Tequila, mica storie