Panama Papers e quel plugin non aggiornato: lo scandalo letto dalla nostra web agency

  • 12 aprile 2016
  • Blog
No Comments

hacker Panama Papers

Alla base di una delle inchieste giornalistiche più scandalose della storia ci sarebbe davvero un plugin non aggiornato di WordPress? Un errore di sistema, di codici e di software incomprensibili penserà chi non si nutre tutti i giorni di pane e html. Spererà che non sia solo frutto di superficialità, dimenticanze o, semplicemente, di una svista umana. Vorrà credere che la fonte anonima entrata in possesso degli 11,5 milioni di documenti dei Panama Papers sia un personaggio uscito dai film di fantascienza. E invece no, pare proprio di no. Il segreto si nasconderebbe infatti proprio in casa Mossack Fonseca rea di una manutenzione inesistente dei suoi siti, di versioni desuete di Outlook e di versioni non aggiornate da mesi, se non da anni, di WordPress e Drupal che avrebbero permesso l’accesso ai file da remoto e che pochi minuti di assistenza informatica avrebbero evitato la più grande fuga di notizie finanziaria della storia.

La causa dell’hackeraggio a Mossack Fonseca

Ad annunciare la causa che avrebbe portato allo scandalo Panama Papers è stato proprio il patron di WordPress, Mark Manuder che ha dichiarato sul blog di WordFence che il sito di Mossack Fonseca potrebbe essere stato violato per una versione vulnerabile di Revolution Slider, il plugin che permette di inserire diapositive animate, di facilitare e ottimizzare le configurazioni dei siti sviluppati in WordPress. Sorge spontaneo chiedersi come mai la più grande fabbrica di società off-shore del pianeta che custodisce i segreti di alcuni dei più grandi zii paperoni al mondo non solo abbia costruito un sito così debole ma soprattutto che sia caduta sulla buccia di banana più subdola del web: non fare gli aggiornamenti.

Revolution slider

Cosa si sarebbe dovuto fare

La nostra agenzia, specializzata in web marketing, per esempio, controlla e verifica quotidianamente che tutti i siti dei clienti non presentino errori di sistema, siano aggiornati e che tutti i plugin funzionino correttamente. Team BP

Il messaggio che potrebbe passare da questa storia è che il plugin in questione e i siti realizzati in WordPress non siano sicuri e che necessitino di un’assistenza eccessiva per amministrarli ma si tratterebbe di un’accusa troppo debole e superficiale. La nostra agenzia, specializzata in web marketing, per esempio, controlla e verifica quotidianamente che tutti i siti dei clienti non presentino errori di sistema, siano aggiornati e che tutti i plugin funzionino correttamente. Riceviamo segnalazioni, studiamo gli strumenti e, se necessario, ne installiamo di nuovi. Si chiama assistenza e si traduce in ore di vera e propria manutenzione con interventi nascosti e non manifesti ma così preziosi da permettere che il vostro sito funzioni sempre perfettamente. E fa sorridere pensare alla nostra quotidianità di assistenza informatica in agenzia paragonata a quella di una storia che si legge sui giornali di tutto il mondo perché qualche mese fa WordPress aveva avvisato la sua comunità di un possibile pericolo sul fronte sicurezza invitando tutti i gestori di siti web di verificare e intervenire per non correre il rischio che alcuni domini potessero essere violati a causa di un bug di Revolution Slider. Una minaccia estesa a tutte le versioni 3.0.95 e precedenti ma facilmente risolvibile perché la notizia era corredata da una semplice e dettagliata soluzione: un aggiornamento del plugin. Funziona così. Si riceve una segnalazione quando si intravede un possibile pericolo e si interviene. Noi, e presumo la maggior parte delle altre agenzie e web master, con pochi minuti di assistenza abbiamo aggiornato il plugin così i siti dei nostri clienti non si sono esposti al problema segnalato da WordPress. Questo è (anche) il lavoro dei web master. La domanda è: perché lo studio Mossack Fonseca, miniera d’oro di informazioni segrete, ha permesso a chi aveva in gestione il suo sito di commettere un errore così superficiale? E sia chiaro, la svista non riguarda solo un plugin.

Le considerazioni

Sul blog di WordPress si scopre infatti che, oltre alla versione del plugin Revolution Slider obsoleta (era la 2.1.7.), il server di Mossack Fonseca non fosse nemmeno protetto da un firewall e che il loro server si trovasse sullo stesso network del server di posta elettronica con sede a Panama.

Insomma nessuno intende minimizzare il lavoro di hackeraggio che ha portato la fonte anonima a prelevare 2,6 terabyte di file, passarle al quotidiano tedesco Suddeutsche Zeitung che a sua volta si è rivolto ad ICIJ “The International Consortium of Investigative Journalists” per scoperchiare il vaso di Pandora. Un vaso che, forse, se amministrato e gestito con i giusti strumenti avrebbe potuto non aprirsi mai. Pochi minuti di assistenza, tradotti in pochi dollari di intervento, avrebbero forse evitato uno scandalo mondiale che ha già causato vittime politiche e sarà destinato a coinvolgere e trascinare premier, presidenti e imprenditori di tutto il pianeta.

Quindi quando vi capiterà di chiedervi «ma cosa saranno queste ore di assistenza al sito internet?», sorridete e pensate a quanto i personaggi coinvolti nei Panama Papers avrebbero desiderato che qualcuno al posto loro se lo domandasse. Perché se proprio doveste subire un attacco da parte di hacker professionisti, almeno ostacolategli il lavoro!

Iscritti alla nostra newsletter

Richiedi un'analisi gratuita

Hai un progetto web e vuoi un nostro parere sulle possibilità? Contattaci per una valutazione gratuita e senza alcun impegno

Altri aggiornamenti dal nostro blog

Guarda tutti i nostri post