Gelang der Panama-Paper-Hack weil Drupal und WordPress Seiten nicht regelmäßig "gepatcht" wurden

kamt04

War es ein gehackter Mail-Account oder wie wurden die Daten, die jetzt als Panama-Paper Bekanntheit erlangten, entwendet?

Die britische Online-Plattform The Register berichtet, dass Mossack Fonseca über zwei Webauftritte verfügte: Eine nach außen gerichtete, basierend auf WordPress und eine Kundenplatform für den Austausch sensibler Daten, die auf Drupal läuft.

Beide Seiten liefen mit technisch veralteteten Versionen. Die WordPress-Seite hinkte demnach 3 Monate ihrem Update hinterher und die Drupal-Seite lief in der Version 7.23. aus  Jahr 2013.

Das ist besonders heikel, da es im Oktober 2014 für Drupal-Seiten eine harte Sicherheitswarnung gab mit der dringenden Empfehlung ein Core-Update auf Version 7.33 durchzuführen. Dies ging einher mit weltweiten Hackerangriffen auf Drupal-Installationen, sodass Seiten, auf denen nicht innerhalb von Stunden ein Update durchgeführt wurde als gehackt angenommen werden mussten und entsprechend zurück gesetzt werden mussten.

Da dort nun seit 2013 kein Sicherheitsupdate mehr durchgeführt wurde, muß man davon ausgehen, dass die Kundenplatform seit Oktober 2014 offen wie ein Scheunentor war? Das ist schon eine echte Pointe, angesichts der Tatsache, dass es hier um das diskrete Geschäft der Vermögensverschleierung geht.

Doch mit welchem Ziel auch immer ein Webauftritt geplant, erstellt und betrieben wird: an regelmäßigen Sicherheitsupdates sollte nicht gespart werden.

Hier der Artikel