Sedot Panama Papers, Hacker Manfaatkan Kelemahan Software

Logo Mossack Fonseca
Sumber :
  • Reuters/Files

VIVA.co.id – Insiden Panama Papers yang melibatkan jutaan dokumen privat tersebar ke ranah publik, dianggap murni sebagai kesalahan perusahan. Software aplikasi dan keamanan yang tidak pernah diperbaharui disinyalir menjadi penyebab utama dokumen-dokumen tersebut berhasil disedot hackers.

Usai dokumen tersebut dipublikasikan media bernama Süddeutsche Zeitung, co-founder Mossack Fonseca, Ramon Fonseca mengklaim bahwa firma hukum miliknya itu telah diretas. Namun sampai sekarang tidak ada yang tahu identitas peretas tersebut. Süddeutsche Zeitung sendiri mengaku tidak tahu darimana sumber itu mendapatkan data-data tersebut namun yang jelas, motivasi sumber anonim itu 'hanya ingin agar kejahatan tersebut diketahui masyarakat luas'.

Dilansir dari Tech Republic, penulis bernama James Sanders mengungkapkan jika ada beberapa hal yang memungkinkan hacker dengan mudah meretas Mossack Fonseca. Kebanyakan adalah software yang digunakan tidak pernah mengalami pembaruan atau update sejak pertama kali digunakan.

Yang pertama dilihat dari blog homepage Mossack Fonseca, yang diketahui menggunakan Wordpress 4.1. Ini merupakan versi lama dari Wordpress dan telah diumumkan memang memiliki banyak kelemahan.

Ada juga portal client yang dioperasikan Mossack Fonseca, ternyata menggunakan Drupal 7.23. Drupal dioperasikan dengan Apache 2.2.15 dari 6 Maret 2010. Rumitnya, Drupal merupakan perpanjangan Oracle untuk Apache, yang secara standar memungkinkan untuk melihat struktur direktori. File-file dalam Drupal menggunakan ekstensi file .module yang tidak dijalankan secara default dalam Apache. Siapa saja bisa melihat sumber dari file module itu dalam bentuk teks biasa, bahkan melihat direktori tempat lokasi file module.

Instalasi Drupal dianggap sangat lemah dalam sejarah IT. Dia memungkinkan pihak mana saja, bahkan anonim sekalipun, untuk mendapatkan hak istimewa untuk mengakses atau mengeksekusi kode PHP.

Di sisi lain, Mossack Fonseca juga menggunakan email server Microsoft Exchange, yang di dalamnya terdapat komponen Outlook Web Access (OWA). Hak cipta portal untuk login menunjukkan tanggal 2009 dan tidak ada pembaruan sejak itu. Pada 2015 telah ditemukan banyak kerentanan di dalam Exchange dan OWA.

Semua hal ini diamini oleh analis IT dari Seattle, Marcus Eaton. Menurutnya, kondisi dan insiden yang dialami Mossack Fonseca merupakan contoh nyata jika menambal dan merawat software lebih penting ketimbang menggunakannya.

"Sebuah mobil membutuhkan perawatan reguler dan memiliki waktu hidup yang terbatas. Demikian juga software yang digunakan untuk produksi dan pembentukan sistem. Dia harus diperlakukan sama," kata Eaton.