Le autorità non hanno ancora identificato l’hacker o gli hacker grazie ai quali sono stati rivelati i cosiddetti Panama Papers, documenti trapelati da uno studio legale che si occupa di creazione e gestione di società off shore, al centro di una lunga inchiesta giornalistica che ha coinvolto decine di quotidiani internazionali.
La società coinvolta, Mossack Fonseca, con sede nel paese centro-americano, avrebbe sfruttato una vecchia versione (del 2009) di Microsoft Outlook Web App (precedentemente noto come Outlook sul Web o Outlook Web Access), client di posta elettronica basato su browser che consente di accedere alla cassetta postale di Microsoft Exchange Server da quasi qualsiasi browser web.
Oltre a versioni datate di servizi per la gestione della posta elettronica, spiega Forbes, lo studio legale sfruttava vecchie versioni di software open source come WordPress, Drupal e relativi plug-in e script (anche questi datati) con vulnerabilità note e sfruttabili con facilità dagli hacker. L’installazione di Drupal risaliva addirittura a tre anni addietro e non era mai stata aggiornata, una release che presenta almeno 25 vulnerabilità critiche note.
I documenti ottenuti (si parla di 11,5 milioni di documenti per 2,6 terabyte di dati), costituiscono per quantità la più grande fuga di notizie della storia. In pratica, sono state diffuse più informazioni e documenti in questo caso, rispetto anche ai documenti i trafugati da Edward Snowden sulla NSA nel 2013 o nel caso WikiLeaks del 2010. Le informazioni riguardano 214.000 società, 14.000 clienti e 143 politici, inclusi capi di stato.
Mossack Fonseca afferma che le sue attività non sono illegali, che queste rispettano le regole riguardanti il riciclaggio di denaro e di avere responsabilità limitata sull’uso che i suoi clienti fanno delle società che aiutano a creare e gestire.