Причиной утечки панамских документов могли быть уязвимые версии WordPress и Drupal

Издание Forbes не исключило, что утечка конфиденциальных документов панамской юридической компании Mossack Fonseca, вскрывшая скрытые активы многих известных политических деятелей, могла произойти вследствие взлома сайта компании, на котором применялись устаревшие версии открытых платформ WordPress и Drupal, содержащие ряд серьёзных уязвимостей.

В частности, основной сайт компании работал на движке WordPress 4.1, выпущенном в декабре 2014 года, и использовал несколько устаревших скриптов и плагинов. Тема оформления для WordPress была основана на пакете Twenty Eleven 1.5, выпущенном три года назад. Портал для клиентов компании работал на движке Drupal 7.23 (информация о версии получена на основе размещённого для публичного доступа файла CHANGELOG.txt). Движок Drupal на сайте portal.mossfon.com не обновлялся уже три года, за которые было выпущено 25 обновлений с устранением проблем с безопасностью.

Например, в движке Drupal оставались неисправленным уязвимости, позволяющие войти под другим пользователем, получить полный доступ к системе и осуществить подстановку SQL-кода. В WordPress наблюдались уязвимости, позволяющие осуществить подстановку на страницу кода JavaScript, который мог использоваться для перехвата параметров доступа к интерфейсу администратора. Из возможных векторов атаки также рассматривается применение сотрудниками компании устаревшей версии Microsoft Outlook Web Access, выпущенной в 2009 году, без применения шифрования переписки.