#panamapapers: veraltete Drupal-Version Schuld an Daten-Leak?
Alexander Trust, den 7. April 2016
Ist eine veraltete Drupal-Version Schuld am Daten-Leak, das als „Panama Papers“ bekannt ist? Die Kanzlei Mossack Fonseca setzt auf ihrem Kundenportal offenbar die Version 7.23 des CMS ein, die 2014 wegen einer riesigen Sicherheitslücke (Drupalgeddon) von sich reden machte.
Betroffen waren damals alle Drupal-Installation der Version 7.x bis einschließlich 7.32. Im Oktober 2014 wurde die Sicherheitslücke geschlossen, die es Eindringlingen ermöglichte über eine Abstraktions-Ebene Verbindung zu jeder Datenbank von Drupal-Installationen aufzunehmen (SA-CORE-2014-005) und Daten abzugreifen. Nutzern wurde geraten, ihre Version zu aktualisieren oder einen Patch einzuspielen.
Mossack-Fonseca-Kundenportal mit Drupal betrieben
Laut Igor Kandyba von Drop Guard sei der Patch erst ab Version 7.24 anwendbar gewesen. Doch noch heute findet sich auf dem Server des Kundenportals von Mossack Fonseca eine Version der Changelog-Datei, die darauf schließen lässt, dass man bei der panamaischen Anwaltskanzlei nach wie vor Version 7.23 von Drupal einsetzt, die aus dem August 2013 stammt und an der Sicherheitslücke leidet.
Hat die Kanzlei, die das Erstellen von Briefkastenfirmen für ausländische Kunden zu ihrem Geschäftsmodell gemacht hat, bei der Technik geschlampt?
Es ist leider nicht eindeutig festzustellen, ob Mossack Fonseca tatsächlich eine so alte Drupal-Version verwendet. Ruft man das Kundenportal auf, stellt man im Quelltext in jedem Fall fest, dass es sich um eine Version 7.x handeln muss. Doch selbst wenn Mossack Fonseca Drupal 7.23 verwendet, ist nicht eindeutig zu sagen, dass die gestohlenen Daten, die als Panama Papers bekannt wurden, über diesen Angriffsvektor entwendet wurden.