Så langt er det ukjent hvordan de hemmelige dokumentene tilhørende det Panama-basert advokatfirmaet Mossack Fonseca kom på avveie.
De har utelukket at historiens største dokumentlekkasje var en innsidejobb. Overfor Reuters fastslår selskapet at de er blitt hacket.
Mye tyder på at advokatfirmaet, som i mange tiår har hjulpet alt fra politikere til statsoverhoder og milliardærer, de rike og berømte med å opprette selskaper i skatteparadiser, burde ha investert litt mer på informasjonssikkerhet og bedre rutiner.
Utdatert programvare
Forbes har avdekket at klientportalen deres, brukt av kundene for adgang til sensitive opplysninger, ble kjørt på en eldre Drupal-versjon, 7.23. Installasjonen skal ha hatt minst 25 kjente sårbarheter, hvorav flere kritiske.
Portalen røper fremdeles, via en eksponert changelog.txt, at produktet ikke er blitt oppdatert på nærmere tre år.
Dette til tross for at Mosack Fonseca har markedsført seg med at «Informasjonen din har aldri vært tryggere enn med vår sikre klientportal».
Varslet om serverinnbrudd
Den 1. april, noen dager før avsløringene som siden har preget nyhetsbildet verden over, sendte advokatfirmaet en urovekkende advarsel til kundene sine. De (via Wikileaks) informerte da om et mulig innbrudd i epostserveren, som de skulle etterforske.
"Oops" #PanamaPapers pic.twitter.com/ISwm6II4Hc
— WikiLeaks (@wikileaks) April 3, 2016
Eposten deres skal ha gått i klartekst, uten kryptering. Firmaet skal også ha benyttet en utdatert versjon av Microsoft Outlook Web Access fra 2009.
Law firms: You don't want to be like Mossack Fonseca. Among other things, ask your IT dept to encrypt your emails. pic.twitter.com/Yxut3g28Ng
— Christopher Soghoian (@csoghoian) April 5, 2016
Alt dette blir spekulasjoner, men en annen potensiell angrepsvektor er hjemmesidene til Mosack Fonseca, som kjører på den utbredte webpubliseringsplattformen Wordpress.
Firmaets egen installasjon er i skrivende stund (tre måneder gamle) versjon 4.2.6, men ifølge WPtavern hadde nettstedet en rekke utdaterte script, utvidelser samt elementer fra langt eldre Wordpress 4.1, som ble utgitt tilbake i desember 2014.
2,6 terabyte
Hvilke sikringstiltak eller systemer advokatfirmaet eventuelt har benyttet for å verne seg mot angrep har vi ikke sett omtalt. Uansett skal en eller flere angivelige hackere ha maktet å hente ut svimlende 2,6 terabyte med hemmelige kundedata, over en periode på nærmere ett år.
Ifølge Wired består lekkasjen av 4,8 millioner epostmeldinger, tre millioner databasefiler, 2,1 millioner pdf-dokumenter, 1,1 millioner bilder, drøyt 320.000 tekstfiler og ytterligere 2.241 andre filer. Dokumentene avdekker blant annet 214.488 såkalte skallselskaper opprettet på vegne av kundene i ulike skatteparadiser.
Det var en anonym kilde, bare omtalt som «John Doe» som tidlig i 2015 begynte å lekke dokumentene til den tyske avisen Süddeutsche Zeitung. De valgte å dele det enorme datagrunnlaget med International Consortium of Investigative Journalists. En internasjonal gruppe med nærmere 400 journalister og et hundretalls medier, deriblant Aftenposten, har siden jobbet med å analysere.
