Column


#panamapapers

‘Kudos voor de securitymensen van Mossack Fonseca’

Wat is hot en trending op Twitter? In deze rubriek brengt SecurityVandaag iedere week in kaart wat het ‘beveiligingssentiment’ in deze digitale kletshoek is. Dit keer: #panamapapers en #security.

Het was het grote nieuws van de afgelopen weken: hoe de rijken der aarde miljarden wegsluizen via belastingparadijzen zoals Nederland. De namen van enkele vermeende belastingvluchtelingen kwamen na een hack op het in Panama gevestigde juridisch advieskantoor Mossack Fonseca op straat te liggen. “Kudos voor de securitymensen van Mossack Fonseca”, vond @yoshiparlevliet.

Knullige beveiliging
Je zou je kunnen afvragen of het advieskantoor de afgelopen jaren wel een ‘securitymens’ over de vloer heeft gehad. Gedurende de eerste dagen van de berichtgeving rondom de ‘Panama Papers’ ging het nog over een diefstal via een gehackte e-mailserver. “Waar een klein lekje in de datasecurity niet toe kan leiden”, zo merkte @Law4ce op.

Al snel werd echter duidelijk dat het hier niet om een ‘klein lekje’ ging. De beveiliging van Mossack Fonseca bleek één grote gatenkaas. “De Panama Papers zijn uitgelekt door een knullige beveiliging”, zo oordeelden onder anderen @Watchguard_NL en @SecurityDossier. Zo draaide de website van Mossack Fonseca nog op een WordPress-versie uit december 2014, was het e-mailsysteem sinds 2009 niet geüpdatet en waren in de versie van Drupal waarop het klantenportaal draaide zeker 25 beveiligingslekken niet gedicht. “En er werd niet gemonitord”, aldus @MKBCyberAdvies.

Waarschijnlijk zijn de Panama Papers gestolen via een WordPress-plugin, zo merkten @Jack_Krul, @TEC_sector en @112petrus op. “Panama Papers tonen noodzaak security CMS aan”, aldus @whtnlfeed.

Encryptie
De diefstal van 11,5 miljoen documenten en 2,6 terabyte aan data maakte in ieder geval duidelijk dat het belangrijk is om de beveiliging up-to-date te houden, zo concludeerden een groot aantal twitteraars waaronder @imregmelig, @fulcodelang en @haarmaninternet. Wellicht had Mossack Fonseca nog iets kunnen leren van het journalistencollectief dat het nieuws naar buiten bracht. “Alle ontvangen data werden gekopieerd en op versleutelde schijven opgeslagen. Voor deze versleuteling heeft men gebruik gemaakt van VeraCrypt, wat gebaseerd is op het populaire TrueCrypt en gelanceerd werd in 2014”, zo staat te lezen in een artikel waarnaar @marlonweerelts en @KevinvanR verwezen.


Lees meer over