فهرست مطالب
جنجال بر سر چیست؟
اسناد پاناما (انگلیسی: Panama Papers) اشاره به مجموعهای از ۱۱٫۵ میلیون اسناد محرمانه از دفتر وکالت موساک فونسکا است که توسط منبعی ناشناس به روزنامه آلمانیزبان زوددویچه تسایتونگ رسیده که شامل ۲۱۴۰۰۰ صفحه سند در ارتباط با پولشویی و فرار مالیاتی است. این اسناد حاوی نام شرکتها و هویت اصلی مالکین و مدیران تراستها است. این اسناد نشان میدهد که چگونه این شرکت به مشتریان خود کمک میکرده که پولشویی کنند، تحریمها را دور بزنند و مالیات نپردازند.
از مجموع این ۱۱٫۵ میلیون سند، حدود ۴٫۸ میلیون مورد از آنها را ایمیل، ۳ میلیون مورد را اسنادی با فرمت پایگاههای داده، ۲ میلیون مورد را پی دی اف یک میلیون مورد را عکس، ۳۲۰ هزار مورد را متن تشکیل میدهد. از این افشاگری به عنوان افشای بزرگترین فساد مالی سیاستمداران جهان یاد شده است.
چهرههای سرشناس متهم
این سندها اطلاعاتی دقیق از داراییهای مخفی بیش از ۷۲ سیاستمدار (فعلی و سابق یا وابستگان آنها) و چهره برجسته غیر سیاسی را شامل میشود و نشان میدهد این افراد، چگونه از شرکتهای جعلی برای مخفی سازی این داراییها استفاده نمودهاند. برخی از این افراد عبارتند از:
- نخست وزیر پاکستان، نواز شریف
- رئیس جمهور اوکراین، پترو پروشنکو
- پادشاه عربستان سعودی
- وابستگان بشار اسد
- نخست وزیر ایسلند
- نزدیکان ولادیمیر پوتین
- لیونل مسی و پدرش
- پدر نخست وزیر فعلی انگلیس
سیگموندور گونلاگسون نخستوزیر ایسلند در ۵ آوریل ۲۰۱۶ پس از افشای این اسناد از سمت خود استعفا داد.
ضعف امنیتی در وب سایت و پرتال شرکت موساک فونسکا
درز بیش از ۵/۲ ترا بایت اطلاعات از وب سایت این شرکت، بزرگترین نشت اطلاعات تاریخ رقم خورده است. به گفته یکی از شرکای این موسسه؛ درز اطلاعات توسط یکی از کارکنان این شرکت انجام نشده، بلکه سرور ایمیل این شرکت از خارج از شرکت هک شده است. تا کنون هویت کسی که این سایت را هک کرده است، و روش هک آن مشخص نشده است. ولی با بررسی وب سایت این شرکت و پرتال اطلاعات کاربران آن، مشخص می شود که این شرکت در زمینه امنیت وب ضعفهای جدی داشته است.
[fusion_builder_container hundred_percent=”yes” overflow=”visible”][fusion_builder_row][fusion_builder_column type=”1_1″ background_position=”left top” background_color=”” border_size=”” border_color=”” border_style=”solid” spacing=”yes” background_image=”” background_repeat=”no-repeat” padding=”” margin_top=”0px” margin_bottom=”0px” class=”” id=”” animation_type=”” animation_speed=”0.3″ animation_direction=”left” hide_on_mobile=”no” center_content=”no” min_height=”none”]در ادامه این مقاله، برخی از ضعفهای امنیتی مرتبط با وب سایت این موسسه این مرور می شوند:
- استفاده از نسخه قدیمی وردپرس در سایت اصلی (نسخه قدیمی سه ماه قبل)
- استفاده از نسخه قدیمی قالب دو هزار و یازده در سایت اصلی (نسخه ۱٫۵ مربوط به سه سال قبل)
- استفاده از نسخه قدیمی پلاگین Revolution Slider در سایت اصلی (نسخه ۲٫۱٫۷ مربوط به بیش از سه سال قبل). نسخه فعلی ۵٫۲٫۴٫۱ آوریل ۲۰۱۶٫ برای اطلاعات بیشتر و فیلم دموی استفاده از این رخنه، این مطلب مطالعه شود.
- استفاده از نسخه قدیمی دروپال در پرتال اطلاعات کاربران (نسخه ۷٫۲۳ مربوط به حدود سه سال قبل، آگوست ۲۰۱۳). شایان ذکر است پس از این تاریخ ۲۵ به روز رسانی امنیتی برای دروپال ارائه شده و در حال حاضر نسخه ۷٫۴۳ دروپال ارائه شده است. خصوصا نسخه های دروپال ۷٫۳۱ و قبل از آن دارای یک رخنه امنیتی SQL Injection موسوم به Drupalgeddon (آخر الزمان دروپال!) بوده اند. رخنه ای که در سال ۲۰۱۴ میلیونها وب سایت دروپالی را هدف قرار داد.
- عدم به روز رسانی Outlook Web Access از سال ۲۰۰۹
فکرش را بکنید: این موسسه حقوقی ۴۰ دفتر فعال در کشورهای مختلف داشته و با میلیاردها دلار پول مشتریانش سر و کار داشته است، و بعد یک نصف روز برای به روز رسانی وب سایت و پرتالش صرف نکرده است! موسسه ای که یکی از اصول کسب و کارش حفظ اطلاعات محرمانه مشتریانش بوده است!
نتیجه گیری
در نگاه اول وب سایت و پرتال این موسسه (و بسیاری شرکتهای دیگر) زیبا است، ولی بایست دید چه کدهایی در پشت این صفحات وب وجود دارند، و امنیت / آسیب پذیری آنها چقدر است.
طی مذاکراتی که با کارفرمایانم داشته ام، دیده ام اولویت شماره یک و دو اغلب آنها عبارت است از:
- قیمت پایین برای طراحی سایت
- ایجاد سایتی با ظاهر زیبا (شبیه فلان وب سایت خارجی)
اغلب این کارفرمایان، زمانی برای بحث و بررسی سایر معیارهای سایت نظیر عملکرد (Performance)، تجربه کاربر، … اختصاص نمی دهند و بدون رودربایستی اصلا مبحث امنیت وب سایت را در نظر نمی گیرند. پس از اتمام طراحی سایت هم، اغلب کارفرمایان مایل به عقد قرارداد نگهداری سایت و پرداخت هزینه مرتبط نمی باشند
امیدوارم، مطالعه این مقاله کوتاه، ذهنیت برخی مشتریان آینده مرا تغییر دهد!