巴拿马文件除了是史上最大宗的泄密事件,更在影响世界各地的知名人士,但这属于 Mossack Fonseca 律师事务所的 2.6 TB 资料是怎样流出呢?这仍是一个谜,但可以肯定的是 Mossack Fonseca 的服务器和网站均千疮百孔,有不少安全漏洞。
维基解密于事后公开一封电子邮件,显示 Mossack Fonseca 在 4 月 1 日通知客户,指他们的邮件服务器受到入侵,现在已联同专家展开深入调查,并采取一切措施防止事件。Mossack Fonseca 的共同创办人 Ramon Fonseca 亦表示巴拿马文件是骇客非法获得的。不过入侵是谁发动就没人知道。
但根据外国媒体 Wired 的报导,Mossack Fonseca 的网络漏洞并非如此简单,不少系统都已经过时。首先 Mossack Fonseca 使用的电子邮件服务 Outlook Web Access 自 2009 年已没有更新;第二,根据更新纪录,Mossack Fonseca 利用 Drupal 制作的入口网站(portal)的最后更新日期为 2013 年 8 月,网站亦可被 DROWN 攻击;主网站所用的 Drupal 亦至少有 25 个漏洞,包括 SQL 注入。除此之外,Mossack Fonseca 的电邮没有利用 TLS 加密。
巴拿马文件涵盖 1,150 万份档案,包括电子邮件、数据库、PDF 、图片和文字档案。现在到底是 Mossack Fonseca 的员工还是外国骇客泄密仍然无从判断,即使是第一个接触资料的《南德意志报》,也只能与称为 John Doe 、正受生命威胁的神秘人进行加密通讯。
- The security flaws at the heart of the Panama Papers
- ‘Panama papers’ came from email server hack at Mossack Fonseca
(本文由 Unwire Pro 授权转载;首图来源:达志影像)
