Причиной утечки панамских документов могли быть уязвимые версии WordPress и Drupal - Флейм

Взято здесь: http://www.opennet.ru/opennews/art.shtml?num=44205

Издание Forbes не исключило, что утечка конфиденциальных документов панамской юридической компании Mossack Fonseca, вскрывшая скрытые активы многих известных политических деятелей, могла произойти вследствие взлома сайта компании, на котором применялись устаревшие версии открытых платформ WordPress и Drupal, содержащие ряд серьёзных уязвимостей.

В частности, основной сайт компании работал на движке WordPress 4.1, выпущенном в декабре 2014 года, и использовал несколько устаревших скриптов и плагинов. Тема оформления для WordPress была основана на пакете Twenty Eleven 1.5, выпущенном три года назад. Портал для клиентов компании работал на движке Drupal 7.23 (информация о версии получена на основе размещённого для публичного доступа файла CHANGELOG.txt). Движок Drupal на сайте portal.mossfon.com не обновлялся уже три года, за которые было выпущено 25 обновлений с устранением проблем с безопасностью.

Например, в движке Drupal оставались неисправленным уязвимости, позволяющие войти под другим пользователем, получить полный доступ к системе и осуществить подстановку SQL-кода. В WordPress наблюдались уязвимости, позволяющие осуществить подстановку на страницу кода JavaScript, который мог использоваться для перехвата параметров доступа к интерфейс администратора. Из возможных векторов атаки также рассматривается применение сотрудниками компании устаревшей версии Microsoft Outlook Web Access, выпущенной в 2009 году, без применения шифрования переписки.

Выводы можно сделать разные, думаю, вывод относительно движков имеет смысл делать в последнюю очередь   

Вот что бывает когда экономишь на разработке) Такая контора могла себе позволить индивидуальный движок.

C сугубо индивидуальными уязвимостями) Обновляться надо вовремя.

Они судя по всему на всей it инфраструктуре сэкономили. А индивидуальные уязвимости, они если и есть, то обнаружить их не так просто. Когда движок в открытом доступе да еще и напичкан расширениями популярными, то тут сам бог велел  

Да ну... Тут целенаправленный слив инфы. С трудом верится, что информацию такого толка обрабатывают при помощи CMS.

Да ну... Тут целенаправленный слив инфы. С трудом верится, что информацию такого толка обрабатывают при помощи CMS.

должны же быть крайние! ))))
а обновляться - 146,5999% надо во время

Да ну... Тут целенаправленный слив инфы. С трудом верится, что информацию такого толка обрабатывают при помощи CMS.

Вас умоляю  , еще не такие крутятся на CMS

на Комьютерре статья по теме есть.
там намекают на странную однобокость: больше всего слито по российским подданным и прочим участникам БРИКС, что наводит на мысль о планомерном сливе.
типа, спецслужбы заклятых друзей сработали.
а если это так, то всякие выпады в сторону друпалов неуместны. эти могли тупо трафик перехватывать или хостеров за одно место взять ).

Я думал, что такие документы хранятся не на сайтах, а в специализированных защищенных системах и базах данных...

главное что бы лохи поверили в тупую попытку отмыться...

Я думал, что такие документы хранятся не на сайтах, а в специализированных защищенных системах и базах данных...

Не всегда, вот то что многие так думают это и есть 99% безопасного хранения на CMS а не в какой либо другой защищенной базе.
В целом и хрен на них, на чем хранят и как добыли, нам то что от этого.

Я думал, что такие документы хранятся не на сайтах, а в специализированных защищенных системах и базах данных...

Ну если к примеру у них эта самая БД на том же сервере/в той же сети что и публичный сайт и/или если эксплуатируемая уязвимость публичного сайта позволяет получить привилегии, достаточные для того чтобы добраться до этой БД и/или например файлов конфига где хранятся логин/пароль, папки с сертификатами для доступа к этой БД и т.д. и т.п...