Aiheuttiko Drupal ns. Panaman paperien vuodon?

Keväällä 2016 paljastui iso asiakirjojen tietovuoto nimeltään Panaman paperit. Tietovuodon kohteena oli panamalainen yhtiö Mossack Fonseca, joka on offshore-lakiasiaintoimisto ja tarjoaa asiakkailleen mm. palveluita verojen minimoimiseksi.  Tietovuoto sisältää yli 2 teratavua erilaisia asiakirjoja ja yhtiön asiakkaita on ympäri maailmaa.

Forbes kirjoittaa artikkelissaan "The Amazing Flight Of The Panama Papers":

"FORBES discovered the firm ran a three-month old version of WordPress for its main site, known to contain some vulnerabilities, but more worrisome was that, according to Internet records, its portal used by customers to access sensitive data was most likely run on a three-year-old version of Drupal, 7.23. That platform has at least 25 known vulnerabilities at the time of writing, two of which could have been used by a hacker to upload their own code to the server and start hoovering up data."

Eli Mossack Fonsecan pääsivusto käytti vanhentunutta Wordpress-versiota jossa oli muutamia tunnettuja tietoturva-aukkoja. Tämä ei kuitenkaan ole se kaikista vakavin puute, vaan se on se että heidän asiakasportaali oletettavasti käytti kolme vuotta vanhaa versiota Drupal 7:sta, versio 7.23. Tämä versio on niin vanha että mm. kuuluisa Drupalgeddon-bugi vaikuttaa siihen ja kuka tahansa voi saada pääsyn kyseiselle sivustolle.

Varmaahan ei ole että juuri Drupal olisi ollut vuodon takana, mutta joka tapauksessa Forbesin tutkimuksen tulokset ovat mielenkiintoisia.

Mielestäni tämä korostaa entisestään Drupalin tietoturvapäivitysten merkitystä. Jos sivustolla käsitellään hiukankaan arkaluontoista tietoa, on sivuston päivitysten suorittaminen ensiarvoisen tärkeää. Versiotuet ovat myös hyvä ottaa huomioon, mm. Drupal 6 ei enää ole tuettu versio helmikuun 2016 jälkeen, joten siihen ei enää julkaista minkäänlaisia tietoturvapäivityksiä ja on vaarallinen käyttää. 

 

Jaa tämä kirjoitus

Kirjoittaja

Kristian Polso

Kristian on vastuussa VP:n tuotannosta. Taustaa löytyy verkko-ohjelmoinnista niin koulutuksen kuin työkokemuksen myötä.

Google Plus

Kommentit

comments powered by Disqus