De Panama Papers komen uit de interne administratie van het Panamese juridische adviesbureau Mossack Fonseca. Het bureau bleek zijn IT-beveiliging in het geheel niet op orde te hebben.
Onbekende hackers wisten toegang te krijgen tot in totaal 2,6 terabyte aan informatie. Dat zijn maar liefst 11,5 miljoen confidentiƫle documenten. Experts hebben de hack geanalyseerd en kwamen tot de conclusie dat de IT-beveiliging van Mossack Fonseca ver onder de maat was.
Drupalgeddon
De website van het juridisch adviesbureau draait op een verouderde WordPress-versie uit eind 2014. De site maakt gebruik van meerdere verouderde scripts en plug-ins. Het klantportaal van het bureau is in Drupal 7.23 gemaakt. In nieuwe versies zijn in drie jaar 25 kwetsbaarheden verholpen, waardoor het portaal van Mossack Fonseca kwetsbaar was voor onder meer het SQL-injectielek met de naam Drupalgeddon.
Geen Transport Layer Security
Microsofts Outlook Web Access, het e-mailsysteem van het bureau, was sinds 2009 niet meer bijgewerkt. E-mails werden niet beveiligd met TLS: Transport Layer Security. Dit is een beveiligingsprotocol waarmee computers via een cryptografisch versleutelde verbinding met elkaar kunnen communiceren.