#PanamaPapers : Mossack Fonseca une incroyable bourde ?

Un internaute vient de nous mettre sous le nez quelques éléments très, très … dur de trouver un qualificatif adapté. On se doutait bien en jetant un bref coup d’œil que le cabinet d’avocats panaméens avait une fâcheuse tendance à faire n’importe quoi, n’importe comment.

On peut également toujours spéculer sur l’origine de la fuite mais là n’est pas le problème, pour tout vous dire, l’origine de la fuite, on s’en fout, c’est la masse de données qui parle, et ce sont ces données qui sont importantes. Nous ne sommes évidemment toujours pas en mesure d’affirmer d’où vient la cette énorme fuite, mais comme nous le sentions, en collectionnant de si mauvaises pratiques, Mossack Fonseca s’assurait à plus ou moins long terme un drame.

Le WTF du jour

Aujourd’hui… la sauvegarde d’une application interne et d’un jeu de données, probablement sensibles, sauvegardés dans un répertoire public du site web vitrine de la société :

mossfonadm1

Et l’adresse IP internet du serveur de stockage des documents

La structure de l'application et son fichier de configuration
La structure de l’application et son fichier de configuration

Et maintenant, admirez la complexité du password :

Rien de tel que de choisir le même mot de passe que le nom d'utilisateur et de base de données... et SURTOUT ne rien chiffrer, des fois qu'on oublierait le mot de passe
Rien de tel que de choisir le même mot de passe que le nom d’utilisateur et de base de données… et SURTOUT ne rien chiffrer, des fois qu’on oublierait un mot de passe si complexe.

… et évidemment

serv

La base de données SQL est probablement un jeu de données tests qui est aussi sauvegardée au même endroit :

dbmos

… oui tout ça accessible depuis un WordPress qui n’est pas à jour, installé sur un Apache mal configuré.

Twitter Facebook Google Plus email

23 thoughts on “#PanamaPapers : Mossack Fonseca une incroyable bourde ?”

  1. Ce serait intéressant de voir si les autres cabinets de ce type ont le même genre de soucis.
    Pcq, celui là bosse avec la SG mais on a d’autres BoNnes grosses Planques euh banques en France.
    Et le Credit Mutuel impliqué dans un reportage non diffusé sur C+ dont il se dit que les pratiques sont les mêmes …

    Bref, ce n’est qu’une bataille.

  2. Bon bon, je n’y connais pas grand chose (ni en informatique, ni à l’affaire en soit) mais je suis curieux. Es-ce que j’ai le droit d’aller y faire un tour sans me retrouver devant un tribunal ?

  3. @Bluetouff> puisque tuas masqué l’IP du serveur regarde si:
    * l’ip publique (si elle apparait) est proche de l’IP du serveur de messagerie (voir article sur le mail de panique)
    * l’IP locale du serveur appartient à la même plage IP que les serveurs exchange

    ca donnera une idée de l’infrastructure ^^ (t’es pas forcé de répondre en donnant les valeurs)

  4. Bonjour monsieur LAURELLI,

    Je sais que vous êtes un hackeur très compétent puisque vous avez pu vous introduitre dans un STAD de l’ANSES à l’aide de Googleuh et ainsi récupérer des documents confidentiels de haute importance.

    J’aurais besoin de vos services afin de supprimer des fichiers qui se sont malencontreusement retrouvés sur Internet sans mon accord.

    En effet, un malandrin s’est amusé à publier une copie de ma carte d’identité : https://cryptome.org/pp-mf/cpi/Cahuzac-Jeromedoc2-cpi-16-0328.pdf

    Ainsi qu’une lettre de nature confidentielle: https://cryptome.org/pp-mf/cpi/Cahuzac-Jeromedoc1-cpi-16-0328.pdf

    Bien cordialement,

    Monsieur MOUSTACHE

  5. le zip n’est plus accessible, les pdf semblent vides… jpg de même. ??
    Je suis pas un expert, mais ils mettent en place un watchguard, Et ils ne coupent pas l’accès ?? ils sont donc capable de mettre en place le watchguard mais pas de configurer le server web ??
    Les dossiers d’autres années existent mais pas accessibles…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *