WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Sự lỏng lẻo trong hệ thống máy tính của công ty luật Panama
Hệ thống máy tính của Mossack Fonseca, công ty luật ở Panama bị lộ tới 2,6 TB dữ liệu, đã lạc hậu và chứa đầy lỗ hổng an ninh.
Theo tạp chí Wired, trang web của hãng này tồn tại lỗ hổng Drown, khai thác điểm yếu của giao thức SSLv2, ảnh hưởng tới kết nối có mã hóa như HTTPS và các dịch vụ khác dựa trên giao thức SSL và TLS. Lỗ hổng này cho phép tội phạm mạng lấy được thông tin nhạy cảm của người dùng như mật khẩu, dữ liệu cá nhân hoặc xâm nhập trái phép vào mạng nội bộ của cơ quan.
Website của Mossack Fonseca sử dụng hệ quản trị nội dung (CMS) nguồn mở Drupal được cập nhật từ cách đây 3 năm (tháng 8/2013). Phiên bản này chứa tới 25 lỗ hổng, trong đó có một lỗ hổng đặc biệt nguy hiểm, có khả năng tiến hành một cuộc tấn công khai thác SQL thông qua các request được thiết kế đặc biệt và kéo theo hình thức leo thang đặc quyền. Ngoài ra, trang web này cũng được trang bị nền tảng WordPress 4.1 phát hành từ tháng 12/2014 chứa các plugin lỗi thời.
Trong khi đó, hệ thống webmail Outlook Web Access của hãng thậm chí không được cập nhập phần mềm từ năm 2009. Các e-mail của Mossack Fonseca cũng không được mã hóa, khiến không ít chuyên gia an ninh mạng phải tỏ ra ngạc nhiên.
Các tài liệu trong vụ Hồ sơ Panama có thể bị lộ qua các cuộc khai thác lỗ hổng bảo mật
Mossack Fonseca hứa hẹn cung cấp "tài khoản trực tuyến an toàn", nhưng cách họ quản lý máy chủ và website thì vô cùng lỏng lẻo và dễ dàng mở đường cho hacker tiếp cận dữ liệu nhạy cảm. Giáo sư Alan Woodward thuộc Đại học Surrey (Anh) nhận định, cơ chế an ninh của công ty luật trong vụ Hồ sơ Panama là "lạc hậu không thể hiểu nổi".
Hiện chưa rõ những lỗ hổng nào trong hệ thống của Mossack Fonseca bị khai thác. Ramon Fonseca, đồng sáng lập Mossack Fonseca, trước đó khẳng định với AP rằng hệ thống nội bộ của công ty đã bị thâm nhập trái phép và "bị hacker lấy cắp dữ liệu", nhưng báo chí lại không hề đả động tới hành vi bất hợp pháp này mà chỉ nhắm vào tên tuổi của những khách hàng nổi tiếng.
Theo VnExpress
Theo tạp chí Wired, trang web của hãng này tồn tại lỗ hổng Drown, khai thác điểm yếu của giao thức SSLv2, ảnh hưởng tới kết nối có mã hóa như HTTPS và các dịch vụ khác dựa trên giao thức SSL và TLS. Lỗ hổng này cho phép tội phạm mạng lấy được thông tin nhạy cảm của người dùng như mật khẩu, dữ liệu cá nhân hoặc xâm nhập trái phép vào mạng nội bộ của cơ quan.
Website của Mossack Fonseca sử dụng hệ quản trị nội dung (CMS) nguồn mở Drupal được cập nhật từ cách đây 3 năm (tháng 8/2013). Phiên bản này chứa tới 25 lỗ hổng, trong đó có một lỗ hổng đặc biệt nguy hiểm, có khả năng tiến hành một cuộc tấn công khai thác SQL thông qua các request được thiết kế đặc biệt và kéo theo hình thức leo thang đặc quyền. Ngoài ra, trang web này cũng được trang bị nền tảng WordPress 4.1 phát hành từ tháng 12/2014 chứa các plugin lỗi thời.
Trong khi đó, hệ thống webmail Outlook Web Access của hãng thậm chí không được cập nhập phần mềm từ năm 2009. Các e-mail của Mossack Fonseca cũng không được mã hóa, khiến không ít chuyên gia an ninh mạng phải tỏ ra ngạc nhiên.
Các tài liệu trong vụ Hồ sơ Panama có thể bị lộ qua các cuộc khai thác lỗ hổng bảo mật
Hiện chưa rõ những lỗ hổng nào trong hệ thống của Mossack Fonseca bị khai thác. Ramon Fonseca, đồng sáng lập Mossack Fonseca, trước đó khẳng định với AP rằng hệ thống nội bộ của công ty đã bị thâm nhập trái phép và "bị hacker lấy cắp dữ liệu", nhưng báo chí lại không hề đả động tới hành vi bất hợp pháp này mà chỉ nhắm vào tên tuổi của những khách hàng nổi tiếng.
Theo VnExpress