MrQuậy
Well-Known Member
-
24/09/2013
-
178
-
2.221 bài viết
Hồ sơ Panama: Sự lỏng lẻo trong hệ thống máy tính
Hệ thống máy tính của Mossack Fonseca, công ty luật ở Panama bị lộ tới 2,6 TB dữ liệu, đã lạc hậu và chứa đầy lỗ hổng bảo mật.
Theo tạp chí Wired, trang web của hãng này tồn tại lỗi bảo mật Drown, khai thác điểm yếu của giao thức SSLv2, ảnh hưởng tới kết nối có mã hóa như HTTPS và các dịch vụ khác dựa trên giao thức SSL và TLS. Lỗ hổng này được các chuyên gia mô tả như một cuộc tấn công chi phí thấp, tạo cơ hội cho tội phạm mạng lấy được thông tin nhạy cảm của người dùng như mật khẩu, dữ liệu cá nhân hoặc xâm nhập trái phép vào mạng nội bộ của cơ quan.
Website của Mossack Fonseca sử dụng hệ quản trị nội dung (CMS) nguồn mở Drupal được cập nhật từ cách đây 3 năm (tháng 8/2013). Phiên bản này chứa tới 25 lỗ hổng, trong đó có một lỗ hổng đặc biệt nguy hiểm, có khả năng tiến hành một cuộc tấn công khai thác SQL thông qua các request được thiết kế đặc biệt và kéo theo các hình thức sự leo thang đặc quyền. Ngoài ra, trang web này cũng được trang bị nền tảng WordPress 4.1 phát hành từ tháng 12/2014 chứa các plugin đã lỗi thời.
Trong khi đó, hệ thống webmail Outlook Web Access của hãng đã không được cập nhập phần mềm từ năm 2009. Các e-mail của Mossack Fonseca cũng không được mã hóa làm các chuyên gia an toàn mạng phải ngạc nhiên.
Công ty Mossack Fonseca hứa sẽ cung cấp "tài khoản trực tuyến an toàn", nhưng cách họ quản lý máy chủ và website rất lỏng lẻo và dễ dàng tạo cơ hội cho tin tặc tiếp cận dữ liệu nhạy cảm.
Hiện chưa rõ những lỗ hổng nào trong hệ thống của Mossack Fonseca bị khai thác. Ramon Fonseca, đồng sáng lập Mossack Fonseca, trước đó khẳng định với AP rằng hệ thống nội bộ của công ty đã bị thâm nhập trái phép và bị tin tặc đánh cắp dữ liệu, nhưng báo chí lại không nói tới hành vi bất hợp pháp này mà chỉ nói đến tên tuổi của những khách hàng nổi tiếng.
Các tài liệu trong vụ Hồ sơ Panama có thể bị lộ qua các cuộc khai thác lỗ hổng bảo mật.
Theo tạp chí Wired, trang web của hãng này tồn tại lỗi bảo mật Drown, khai thác điểm yếu của giao thức SSLv2, ảnh hưởng tới kết nối có mã hóa như HTTPS và các dịch vụ khác dựa trên giao thức SSL và TLS. Lỗ hổng này được các chuyên gia mô tả như một cuộc tấn công chi phí thấp, tạo cơ hội cho tội phạm mạng lấy được thông tin nhạy cảm của người dùng như mật khẩu, dữ liệu cá nhân hoặc xâm nhập trái phép vào mạng nội bộ của cơ quan.
Website của Mossack Fonseca sử dụng hệ quản trị nội dung (CMS) nguồn mở Drupal được cập nhật từ cách đây 3 năm (tháng 8/2013). Phiên bản này chứa tới 25 lỗ hổng, trong đó có một lỗ hổng đặc biệt nguy hiểm, có khả năng tiến hành một cuộc tấn công khai thác SQL thông qua các request được thiết kế đặc biệt và kéo theo các hình thức sự leo thang đặc quyền. Ngoài ra, trang web này cũng được trang bị nền tảng WordPress 4.1 phát hành từ tháng 12/2014 chứa các plugin đã lỗi thời.
Trong khi đó, hệ thống webmail Outlook Web Access của hãng đã không được cập nhập phần mềm từ năm 2009. Các e-mail của Mossack Fonseca cũng không được mã hóa làm các chuyên gia an toàn mạng phải ngạc nhiên.
Công ty Mossack Fonseca hứa sẽ cung cấp "tài khoản trực tuyến an toàn", nhưng cách họ quản lý máy chủ và website rất lỏng lẻo và dễ dàng tạo cơ hội cho tin tặc tiếp cận dữ liệu nhạy cảm.
Hiện chưa rõ những lỗ hổng nào trong hệ thống của Mossack Fonseca bị khai thác. Ramon Fonseca, đồng sáng lập Mossack Fonseca, trước đó khẳng định với AP rằng hệ thống nội bộ của công ty đã bị thâm nhập trái phép và bị tin tặc đánh cắp dữ liệu, nhưng báo chí lại không nói tới hành vi bất hợp pháp này mà chỉ nói đến tên tuổi của những khách hàng nổi tiếng.
HL ( theo VnExpress)