Strokovnjaki so za Wired analizirali varnostne ukrepe pri Mossack Fonseci in bili nad ugotovitvami presenečeni. Izkazalo se je, da kar sedem let niso nadgradili programa za elektronsko pošto Outlook Web Access, portal, prek katerega so do njihovih strani dostopale stranke, pa ni bil posodobljen vse od leta 2013.
Različica Drupala, odprtokodnega sistema za upravljanje vsebin, ki so ga imeli nameščenega pri Mossack Fonseci, je imela vrsto varnostnih pomanjkljivosti. Strokovnjaki so jih našteli kar 25, med drugim resno ranljivost, ki omogoča izvajanje ukazov z zunajih računalnikov. Poleg tega je bilo mogoče priti do njihovega uporabniškega vmesnika, če si uganil pravi spletni naslov. S tem pa si dobil tudi dostop do vseh naloženih dokumetov, so pojasnili pri Wiredu. Čeprav na spletni strani Mossack Fonsece svojim strankam obljubljajo varen dostop do podatkov kadar koli in kjer koli, očitno niso poskrbeli za to, da bi obljubo tudi izpolnili.
Strokovnjake za internetno varnost je presenetilo tudi, da niso poskrbeli za enkripcijo elektronskih sporočil, s čimer bi jih zaščitili pred nepovabljenimi pogledi. Ugotovili so namreč, da pri družbi niso uporabljali varnostnega protokola TLS, ki je danes sprejet kot standard za varno elektronsko pošto.
Katero od številnih lukenj so izkoristili napadalci, da bi prišli do dokumentov, ni jasno, prav tako ni jasno, ali je dokumente dal v javnost kdo od zaposlenih ali so bili žrtev hekerjev. Ramon Fonseca, eden od ustanoviteljev družbe, je prepričan v slednje. Dejal je, da so družbo napadli s strežnikov iz tujine in da je to tudi edini zločin, ki se je zgodil. Pri panamskih tožilcih so zato v ponedeljek vložili kazensko ovadbo. Fonseca pa ni pojasnil, iz katerih držav so izvedli napad.
Tudi Alan Woodward, strokovnjak za računalniško varnost z Univerze v Surreyju, je prepričan, da so bili pri Mossack Fonseci žrtve zunanjega napadalca, morda celo države. "Če bi stavil, bi se odločal med hekerjem, ki je slučajno imel srečo, bil pretresen nad tem, kar je videl, in se odločil to dati v javnost, ter tujo državo, ki se je preprosto naveličala izogibanja davkom," je dejal. Drugačnega mnenja pa je bil predavatelj računalništva na Univerzi v Kentu Eerke Boiten. "Vemo, da je šlo za ogromno količino podatkov, ki so prihajali postopoma. To kaže na nekoga od znotraj, ki ima dovolj pravic, da lahko vidi vse podatke, a ne dovolj, da bi jih lahko hitro skopiral na en disk," je dejal.
O viru sicer vemo le to, kar je objavil Suddeutsche Zeitung. Vir jih je kontaktiral konec leta 2014, sporočil je, da je njegovo življenje ogroženo, da pa ima podatke iz pravne službe Mossack Fonseca, ki bi jih rad delil. Na vprašanje, koliko podatkov ima, je odgovoril: "Več, kot ste jih kadar koli videli." Izkazalo se je, da ni lagal. Poslal je 11,5 milijona dokumentov ali neverjetnih 2,6 terabajta podatkov, 1500-krat več kot jih je leta 2010 izdal WikiLeaks.
KOMENTARJI (17)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.