Hồ sơ Panama: Sự lỏng lẻo trong hệ thống máy tính

13:19 | 27/04/2016 | LỖ HỔNG ATTT

Hệ thống máy tính của Mossack Fonseca, công ty luật ở Panama bị lộ tới 2,6 TB dữ liệu, đã lạc hậu và chứa đầy lỗ hổng bảo mật.

Hồ sơ Panama: Sự lỏng lẻo trong hệ thống máy tính

Các tài liệu trong vụ Hồ sơ Panama có thể bị lộ qua các cuộc khai thác lỗ hổng bảo mật.

Theo tạp chí Wired, trang web của hãng này tồn tại lỗi bảo mật Drown, khai thác điểm yếu của giao thức SSLv2, ảnh hưởng tới kết nối có mã hóa như HTTPS và các dịch vụ khác dựa trên giao thức SSL và TLS. Lỗ hổng này được các chuyên gia mô tả như một cuộc tấn công chi phí thấp, tạo cơ hội cho tội phạm mạng lấy được thông tin nhạy cảm của người dùng như mật khẩu, dữ liệu cá nhân hoặc xâm nhập trái phép vào mạng nội bộ của cơ quan.

Website của Mossack Fonseca sử dụng hệ quản trị nội dung (CMS) nguồn mở Drupal được cập nhật từ cách đây 3 năm (tháng 8/2013). Phiên bản này chứa tới 25 lỗ hổng, trong đó có một lỗ hổng đặc biệt nguy hiểm, có khả năng tiến hành một cuộc tấn công khai thác SQL thông qua các request được thiết kế đặc biệt và kéo theo các hình thức sự leo thang đặc quyền. Ngoài ra, trang web này cũng được trang bị nền tảng WordPress 4.1 phát hành từ tháng 12/2014 chứa các plugin đã lỗi thời.

Trong khi đó, hệ thống webmail Outlook Web Access của hãng đã không được cập nhập phần mềm từ năm 2009. Các e-mail của Mossack Fonseca cũng không được mã hóa làm các chuyên gia an toàn mạng phải ngạc nhiên.

Công ty Mossack Fonseca hứa sẽ cung cấp "tài khoản trực tuyến an toàn", nhưng cách họ quản lý máy chủ và website rất lỏng lẻo và dễ dàng tạo cơ hội cho tin tặc tiếp cận dữ liệu nhạy cảm.

Hiện chưa rõ những lỗ hổng nào trong hệ thống của Mossack Fonseca bị khai thác. Ramon Fonseca, đồng sáng lập Mossack Fonseca, trước đó khẳng định với AP rằng hệ thống nội bộ của công ty đã bị thâm nhập trái phép và bị tin tặc đánh cắp dữ liệu, nhưng báo chí lại không nói tới hành vi bất hợp pháp này mà chỉ nói đến tên tuổi của những khách hàng nổi tiếng.

‹ › ×

Tin cùng chuyên mục

Lỗ hổng chèn lệnh BatBadBut ảnh hưởng đến nhiều ngôn ngữ lập trình

09:00 | 03/05/2024

Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.

Anker thừa nhận lỗ hổng bảo mật trên camera an ninh Eufy

09:00 | 02/06/2023

Anker đã xác nhận rằng trong những sản phẩm camera an ninh của họ có một số lỗ hổng bảo mật nghiêm trọng cho phép các bên thứ ba trái phép xem nguồn cấp dữ liệu trực tiếp của camera. Eufy đã tải dữ liệu người dùng lên máy chủ đám mây khi chưa có sự đồng ý của họ và lỗ hổng bảo mật có thể sử dụng liên kết từ cổng web của Eufy để xem quá trình phát trực tiếp của camera bằng trình phát đa phương tiện.

Phát hiện lỗ hổng nghiêm trọng trong máy tính xách tay Acer

14:00 | 14/12/2022

Nhà nghiên cứu bảo mật của ESET (Slovakia) phát hiện một lỗ hổng ảnh hưởng đến nhiều mẫu máy tính xách tay Acer có thể cho phép kẻ tấn công vô hiệu hóa tính năng “Khởi động an toàn” (Secure Boot) và vượt qua các biện pháp bảo vệ để cài đặt phần mềm độc hại.

Lỗ hổng trong Polkit pkexec gây ảnh hưởng nghiêm trọng đến hệ điều hành Linux

08:00 | 24/02/2022

Các nhà nghiên cứu bảo mật đã đưa ra cảnh báo về một lỗ hổng trong thành phần pkexec của Polkit định danh CVE-2021-4034 (PwnKit). Lỗ hổng này ảnh hưởng nghiêm trọng đến hệ điều hành Linux và cho phép tin tặc tấn công leo thang đặc quyền với một tài khoản người dùng bất kỳ trong hệ thống mục tiêu.