Инцидент с панамской юридической фирмой Mossack Fonseca ярко иллюстрирует все последствия утечки данных: невероятные убытки, скандал, и несмываемое пятно на репутации компании. А заодно, в который раз, подтверждает неоспоримый факт: юридические фирмы были, есть и будут лакомыми целями для злоумышленников. К тому же, учитывая общий низкий уровень систем информационной защиты в этом сегменте бизнеса, мошенники всех мастей с удовольствием набросятся на легкую добычу.
Mossack Fonseca теперь с гордостью может носить сомнительный титул «жертва самой крупной утечки информации». Немного цифр для подтверждения. Из компании были похищены 11,5 миллионов конфиденциальных документов, хранимых с 1970 года. В общей сложности были украдены 2,6 терабайта данных. Из них: 4,8 миллиона почтовых адресов, 3 миллиона баз данных, 2,2 миллиона PDF-файлов, 1,1 миллион изображений и 320 000 текстовых документов. Общественный резонанс обрел поистине колоссальные масштабы, ведь среди похищенной информации были данные об оффшорных счетах бизнесменов, политиков и публичных персон разного уровня.
Пока в СМИ широкомасштабно обсуждается вопрос, кому была выгодна утечка информации, специалисты по безопасности сконцентрировались на не менее важной проблеме – как стало возможно такое крупное хищение данных.
Детали происшедшего, естественно, неизвестны. Mossack Fonseca не желает окончательно ударить в грязь лицом, ведь в инциденте очень много скользких моментов. По заверениям представителей компании, хищение данных произошло из-за взлома почтового сервера. Для многих специалистов по безопасности эта версия и остается рабочей до сих пор.
В подтверждение такого вектора развития событий свидетельствует анализ систем безопасности компании, проведенный различными организациями из разных стран. Результатом стал цикл статей, опубликованных крупными профильными СМИ, как например CSO и WEIRD.
Как выяснилось, система безопасности компании находилось на невероятно низком уровне.
Первые уязвимости обнаружились на клиентском портале Mossack Fonseca. В его основе лежит бесплатная CMS Drupal, исходя из логов сайта, в последний раз она обновлялась в 2013 году. Гордая надпись на одной из страниц портала сообщает о том, что клиенты используют «защищенный онлайн доступ», позволяющий получить нужную информацию в любое время в любой точке мира. При этом, известно как минимум 25 уязвимостей, которыми могут воспользоваться злоумышленники для взлома подобного рода сайтов. Среди них – SQL-инъекция, и возможность найти «черный ход» благодаря стандартной структуре URL.
Основной сайт компании также не отличался особой надежностью и защитой. При его разработке использовалась бесплатная CMS WordPress, в последний раз обновлявшаяся за три месяца до взлома.
Почтовая система, главный виновник инцидента, в последний раз обновлялась в 2009 году. Тогда же представители компании озаботились изменением логинов и паролей доступа.
Учитывая такой широкий перечень уязвимостей, лежащих на самой поверхности, напрашивается вопрос – почему утечек информации в Mossack Fonseca не было так долго?
Однако, не все так однозначно. Для успешной атаки «извне», важным условием являются два фактора.
Скорость. Данные нужно похитить очень быстро, пока служба безопасности не забила тревогу.
Информация. Злоумышленники должны точно знать о наличии ценных документов, иначе можно впустую потратить ресурсы и похитить пустышку. Риск, конечно, дело благородное, но угроза ответственности перед законом должна хорошо оплачиваться.
Эти факторы дают повод утверждать, что основная версия о стороннем взломе – несостоятельна. Для того чтобы похитить 11,5 миллионов документов или 2,6 терабайта данных при скорости 100 Мб/с, потребуется около двух дней. Трансфер такого большого объема данных просто не может быть не замечен.
Кроме того, официальная версия умалчивает об инсайдере. А без него подобная операция невозможна: кто-то должен был навести злоумышленников на цель.
Неожиданное подтверждение развитию версии с инсайдером предоставила Gazeta.ru. Их источник – Кеннет Райджок, в прошлом — специалист по отмыванию денег, ныне – независимый финансовый консультант.
По его словам, было два источника утечки, первый из которых – секретарь и любовница одного из основателей компании, Рамона Фонсеки.
Неудачно закончившийся роман взбесил женщину, и она решила отомстить, заодно поправив свое финансовое положение. Доступ к конфиденциальным документам в компании практически никак не ограничивался, а перемещение данных не отслеживалось. Поэтому секретарь смогла собрать пакет важной информации, и чуть ли не в открытую разместила их на продажу в Панаме.
Вторым источником утечки стала супружеская пара, работавшая в Mossack Fonseca. Супруга плохо справлялась со своими обязанностями в отделе контроля соответствия стандартам и была уволена.
И, как часто бывает с сокращенными сотрудниками, обиженными на компанию, у нее созрел план мести. Муж, работавший в отделе управления частным капиталом, похитил конфиденциальную информацию и совместными усилиями со своей второй половинкой реализовал ее на черном рынке.
Подобная схема отлично вписывается в общую картину развития событий. Общий низкий уровень информационной безопасности компании, отсутствие систем мониторинга действий персонала, отсутствие контроля переписки и трансфера данных могли подтолкнуть любого недобросовестного сотрудника к хищению. А учитывая, что очень часто инсайдерами становятся обиженные или уволенные сотрудники, информация, предоставленная Кеннетом Райджоком, кажется вполне достоверной.
Публичную реакцию Mossack Fonseca можно понять. Гораздо легче свалить вину на неизвестных хакеров, чем признать свою некомпетентность в обеспечении внутренней безопасности данных и отсутствии инструментов контроля и мониторинга. В текущей ситуации груз ответственности компания частично переложила на неизвестных злоумышленников. Если, история с инсайдером подтвердится, вряд ли Mossack Fonseca сможет хоть как-то оправдаться.
Исследование различных утечек данных в юридических организациях также частично подтверждает версию, озвученную Gazeta.ru. Американские специалисты по безопасности обратили внимание, что в подавляющем большинстве случаев, причиной утечки данных в этом сегменте бизнеса является именно инсайдер. Не так давно похожий случай произошел в американской юридической компании Simpson Thacher & Bartlett LLP. Расследование, проведенное ФБР установило, что источником утечки был бывший сотрудник компании. Он на протяжении пяти лет крал важные документы и продавал их на черном рынке.