Ainda não é certo o método mas existem duas formas de acesso possíveis que já foram identificadas e que em ambos os casos poderiam ter sido evitadas se a pessoa que mantinha o site tivesse clicado no botão: Actualizar.
O site da Mossack Fonseca tem duas secções. Em www.mossfon.com funciona o site principal e público de acesso à informação da empresa e em portal.mossfon.com funciona a secção de acesso para clientes da empresa.
portal.mossfon.com
Esta secção funcionava em Drupal um sistema de gestão de conteúdos bastante popular.
A versão instalada era a 7.23 de Agosto de 2013 e tem 23 vulnerabilidades conhecidas.
É bom lembrar que o Drupal é gratuito e que desde Agosto de 2013 dezenas de actualizações foram lançadas e que facilmente podiam e deviam ter sido instaladas.
Não é necessário dizer que entrar num site que tenha a versão 7.23 do Drupal instalado não é propriamente difícil e que qualquer miúdo em idade escolar o conseguirá fazer no intervalo dos trabalhos de casa.
www.mossfon.com
O secção pública funcionava em WordPress e tinha instalado um plugin chamado Revolution Slider.
A versão do plugin utilizado era a 2.1.7 e estava desactualizada há anos.
Actualizar um plugin em WordPress é tão simples como: entrar na administração do site, ir a plugins e clicar “actualizar”. Mais, sempre que um administrador entra no painel de gestão do WordPress recebe um aviso quando existem plugins ou outros elementos desactualizados.
Não se percebe como uma empresa com esta dimensão tenha o seu site vulnerável há tanto tempo e aquilo que tenho mais curiosidade é em saber se alguém fazia a manutenção do site. Se o site era mantido por estagiários e/ou administrativos, percebesse a razão disto acontecer e de terem sido ignorados os avisos de actualização. Se o site era gerido por uma empresa ou webmaster da empresa, então isto não faz qualquer sentido.
Quanto a nós? Talvez seja uma boa ideia mantermos os nossos sites actualizados e clicar em Sim da próxima vez que o sistema lhe perguntar: Pretende actualizar agora?
Fonte e imagens: WordFence