جنجال بر سر چیست؟

اسناد پاناما (انگلیسی: Panama Papers) اشاره به مجموعه‌ای از ۱۱٫۵ میلیون اسناد محرمانه از دفتر وکالت موساک فونسکا است که توسط منبعی ناشناس به روزنامه آلمانی‌زبان زوددویچه تسایتونگ رسیده که شامل ۲۱۴۰۰۰ صفحه سند در ارتباط با پولشویی و فرار مالیاتی است. این اسناد حاوی نام شرکت‌ها و هویت اصلی مالکین و مدیران تراست‌ها است. این اسناد نشان می‌دهد که چگونه این شرکت به مشتریان خود کمک می‌کرده که پولشویی کنند، تحریم‌ها را دور بزنند و مالیات نپردازند.

از مجموع این ۱۱٫۵ میلیون سند، حدود ۴٫۸ میلیون مورد از آنها را ایمیل، ۳ میلیون مورد را اسنادی با فرمت پایگاه‌های داده، ۲ میلیون مورد را پی دی اف یک میلیون مورد را عکس، ۳۲۰ هزار مورد را متن تشکیل می‌دهد. از این افشاگری به عنوان افشای بزرگترین فساد مالی سیاستمداران جهان یاد شده است.

چهره‌های سرشناس متهم

این سندها اطلاعاتی دقیق از دارایی‌های مخفی بیش از ۷۲ سیاستمدار (فعلی و سابق یا وابستگان آن‌ها) و چهره برجسته غیر سیاسی را شامل می‌شود و نشان می‌دهد این افراد، چگونه از شرکت‌های جعلی برای مخفی سازی این دارایی‌ها استفاده نموده‌اند. برخی از این افراد عبارتند از:

  • نخست وزیر پاکستان، نواز شریف
  • رئیس جمهور اوکراین، پترو پروشنکو
  • پادشاه عربستان سعودی
  • وابستگان بشار اسد
  • نخست وزیر ایسلند
  • نزدیکان ولادیمیر پوتین
  • لیونل مسی و پدرش
  • پدر نخست وزیر فعلی انگلیس

سیگموندور گونلاگسون نخست‌وزیر ایسلند در ۵ آوریل ۲۰۱۶ پس از افشای این اسناد از سمت خود استعفا داد.

ضعف امنیتی در وب سایت و پرتال شرکت موساک فونسکا

درز بیش از ۵/۲ ترا بایت اطلاعات از وب سایت این شرکت، بزرگترین نشت اطلاعات تاریخ رقم خورده است. به گفته یکی از شرکای این موسسه؛ درز اطلاعات توسط یکی از کارکنان این شرکت انجام نشده، بلکه سرور ایمیل این شرکت از خارج از شرکت هک شده است. تا کنون هویت کسی که این سایت را هک کرده است، و روش هک آن مشخص نشده است. ولی با بررسی وب سایت این شرکت و پرتال اطلاعات کاربران آن، مشخص می شود که این شرکت در زمینه امنیت وب ضعفهای جدی داشته است.

در ادامه این مقاله، برخی از ضعفهای امنیتی مرتبط با وب سایت این موسسه این مرور می شوند:

  1. استفاده از نسخه قدیمی وردپرس در سایت اصلی (نسخه قدیمی سه ماه قبل)
  2. استفاده از نسخه قدیمی قالب دو هزار و یازده در سایت اصلی (نسخه ۱.۵ مربوط به سه سال قبل)
  3. استفاده از نسخه قدیمی پلاگین Revolution Slider در سایت اصلی (نسخه ۲.۱.۷ مربوط به بیش از سه سال قبل). نسخه فعلی ۵.۲.۴.۱ آوریل ۲۰۱۶. برای اطلاعات بیشتر و فیلم دموی استفاده از این رخنه، این مطلب مطالعه شود.
  4. استفاده از نسخه قدیمی دروپال در پرتال اطلاعات کاربران (نسخه ۷.۲۳ مربوط به حدود سه سال قبل، آگوست ۲۰۱۳). شایان ذکر است پس از این تاریخ ۲۵ به روز رسانی امنیتی برای دروپال ارائه شده و در حال حاضر نسخه ۷.۴۳ دروپال ارائه شده است. خصوصا نسخه های دروپال ۷.۳۱ و قبل از آن دارای یک رخنه امنیتی SQL Injection موسوم به Drupalgeddon (آخر الزمان دروپال!) بوده اند. رخنه ای که در سال ۲۰۱۴ میلیونها وب سایت دروپالی را هدف قرار داد.
  5. عدم به روز رسانی Outlook Web Access از سال ۲۰۰۹

فکرش را بکنید: این موسسه حقوقی ۴۰ دفتر فعال در کشورهای مختلف داشته و با میلیاردها دلار پول مشتریانش سر و کار داشته است، و بعد یک نصف روز برای به روز رسانی وب سایت و پرتالش صرف نکرده است! موسسه ای که یکی از اصول کسب و کارش حفظ اطلاعات محرمانه مشتریانش بوده است!

نتیجه گیری

در نگاه اول وب سایت و پرتال این موسسه (و بسیاری شرکتهای دیگر) زیبا است، ولی بایست دید چه کدهایی در پشت این صفحات وب وجود دارند، و امنیت / آسیب پذیری آنها چقدر است.

طی مذاکراتی که با کارفرمایانم داشته ام، دیده ام اولویت شماره یک و دو اغلب آنها عبارت است از:

  • قیمت پایین برای طراحی سایت
  • ایجاد سایتی با ظاهر زیبا (شبیه فلان وب سایت خارجی)

اغلب این کارفرمایان، زمانی برای بحث و بررسی سایر معیارهای سایت نظیر عملکرد (Performance)، تجربه کاربر، … اختصاص نمی دهند و بدون رودربایستی اصلا مبحث امنیت وب سایت را در نظر نمی گیرند. پس از اتمام طراحی سایت هم، اغلب کارفرمایان مایل به عقد قرارداد نگهداری سایت و پرداخت هزینه مرتبط نمی باشند

امیدوارم، مطالعه این مقاله کوتاه، ذهنیت برخی مشتریان آینده مرا تغییر دهد!

منابع

  1. مدخل اسناد پاناما در ویکی پدیای فارسی
  2. WP Tavern (+ و ++)
  3. BBC، اذعان یکی از شکای موسسه موساک فونسکا به هک شدن سرور ایمیل آن شرکت
  4. Forbes، ضعفهای امنیتی شماره ۱، ۲ و ۴
  5. Wordfence، ضعف امنیتی شماره ۳
  6. Wired (انگلیس)، ضعف امنیتی شماره ۵
  7. آمار آسیب پذیری های مربوط به نسخه ۷.۲۳ دروپال