Verwaarloosde IT Security resulteerde in de Panama Papers

De financiële, juridische en politieke wereld zijn er merkbaar ondersteboven van: de Panama Papers. Maar hoe konden onbekenden 2,6 terabyte aan gegevens bij Mossack Fonseca zomaar stelen?

Invloedrijke politici en captains of industry alsmede enkele topsporters blijken via offshore bedrijfjes op grote schaal belasting te ontduiken (of, zoals men het graag iets diplomatieker stelt: belasting te ontwijken. Niet per definitie strafbaar, maar wel moreel verwerpelijk, wordt daar dan meestal snel achteraan gezegd).

Maar er is nóg een wereld die nog niet over dit mega-datalek is uitgesproken: de IT Security-wereld. Er is nog geen duidelijkheid over hoe dit datalek precies tot stand is gekomen. Mossack Fonseca (MF), het juridische advieskantoor waarvan 2,6 terabyte (!) aan gegevens zijn gestolen, denkt zelf dat de gegevens zijn gestolen door een gehackte e-mailserver en 'een aanval op de database', maar onthult verder geen details. Het bedrijf zegt een grondig onderzoek te hebben ingesteld.

Gelukkig is de IT-security wereld erg behulpzaam in dit soort mysteries. Verschillende security-experts hebben zich al op de zaak gestort en dat heeft ondertussen al geresulteerd in meerdere plausibele, goed onderbouwde theorieën. En dat is werkelijk schrikbarend. Ik zal enkele securityflaters langsgaan, al kan ik er uiteraard ook niet zeker van zijn dat de daadwerkelijke modus operandi met één van deze zwakke plekken te maken heeft.

1. De website van MF is een Wordpress website. Zoals bekend, is het noodzakelijke om Wordpress sites zeer regelmatig te updaten, omdat er heel vaak lekken in worden gevonden. De versie die momenteel draait, is drie maanden geleden voor het laatst geüpdatet.
2. De Wordpress-server liep op hetzelfde netwerk als de database met alle klantendossiers.
3. De website van MF maakt gebruik van een lekke Wordpress plug in: Revolution Slider. Die plug in wordt als sinds 2014 actief aangevallen.
4. De inloggegevens van de mailserver werden in platte tekst bewaard in een andere Wordpress plug in.
5. Er was een klantenportaal waar klanten op konden inloggen. Hiervoor werd eenlekke versie van Drupal gebruikt die 25 verschillende beveiligingslekken bevatte. Drupal was sinds 2013 niet meer geüpdatet.
6. De mailserver van MF was al sinds 2009 niet meer geüpdatet en bevatte dus ook talloze beveiligingslekken.
7. Voor het klantenportaal werd gebruik gemaakt van het gevaarlijke SSL v2-protocol
8. De website was vatbaar voor SQL-injecties
9. E-mails waren niet geëncrypteerd
10. Door de kenmerken van het lek (de grote hoeveelheid van de gegevens en het druppelsgewijs beschikbaar komen ervan), denken verschillende experts dat het absoluut een 'inside job' moet zijn geweest. Typisch een werknemer die niet in één keer toegang had tot alle gegevens en telkens maar even de tijd had om stukjes informatie te stelen over een langere periode.

Voor de eerste acht theorieën geldt dat het een ernstige tekortkoming van de informatiebeveiliging en IT-beveiliging is geweest. Voor de laatste theorie geldt dat niet per definitie, hoewel er zeker ook technologieën zijn die een 'inside job' sterk bemoeilijken. Zo kan bijvoorbeeld de toegang tot gevoelige gegevens beperkt worden tot alleen die personen, die zelf aan die betreffende zaak werken of kan het onmogelijk worden gemaakt om digitale kopieën te maken van gegevens in de database. Een zeer gemotiveerde datadief kan uiteraard nog altijd foto's van zijn beeldscherm maken of ouderwets pen en papier ter hand nemen, maar dat redt niemand met 11,5 miljoen documenten die 2,6 terabyte aan informatie uitmaken.

Waarom is dit nu relevant voor de rest van de wereld? Omdat dit datalek een symptoom is van een probleem dat zich in alle sectoren voordoet. Volgens informatiebeveiligingsexpert Dr Daniel Dresner is een slechte IT- en informatiebeveiliging bij advocatenkantoren eerder regel dan uitzondering is. En dat terwijl advocatenkantoren bij uitstek bedrijven zijn die over informatie beschikken die vertrouwelijk moet blijven. Bovendien werken er bij advocatenkantoren bovengemiddeld intelligente mensen die ook nog eens een bovengemiddelde kennis hebben van de wet. Zij kunnen zich dus nauwelijks verschuilen achter het excuus 'ik wist niet dat wij verplicht waren om onze klantgegevens goed te beschermen'. Ik kan mij voorstellen dat het in andere sectoren dus nóg veel slechter gesteld is met de informatiebeveiliging.

Wat dat betreft kan wat mij betreft de nieuwe Data Protection Directive van de Europese Commissie niet snel genoeg in werking treden, die een dergelijke lakse houding ten opzichte van informatiebeveiliging volkomen illegaal maakt. Al vrees ik dat dit alles pas écht indruk gaat maken nadat de eerste miljoenenboetes zijn uitgedeeld.

Eddy Willems, Security-evangelist bij G Data