Twierdzą, że znaleźli błędy na nowej stronie Agencji Wywiadu. "Nie wierzymy, że jakikolwiek audyt przeszła"
"Wczytywanie zewnętrznych zasobów z wielu serwerów poza kontrolą Agencji Wywiadu, używanie prywatnych kont do wgrywania treści, prosta deanonimizacja twórcy i ciągle dostępna wersja deweloperska" - to tylko część problemów z nową stroną służby, które wymieniają specjaliści od cyberbezpieczeństwa z Zaufanej Trzeciej Strony. Agencja Wywiadu nie chce komentować wyników analizy serwisu.
Sprawie bezpieczeństwa nowej strony przyjrzała się Zaufana Trzecia Strona. "Połączenie wiadomości otrzymanych od Czytelników i kawałek własnej analizy pozwoliły nam na namalowanie niezbyt ciekawego obrazu sytuacji" - napisano w tekście "Długa lista problemów z nową stroną internetową Agencji Wywiadu".
Jako pierwszy problem z nową stroną wymieniono stosunkowo łatwe odkrycie jej twórcy. Dzięki odnalezieniu w kodzie strony linku do prywatnego filmu z YouTube, Zaufanej Trzeciej Stronie udało się ujawnić istotne informacje o twórcy strony, m.in. jego imię, wiek, zainteresowania, a także link do profilu w serwisie, w którym zamieszczał swoje wykonania popularnych utworów.
Z informacji, do których dotarł serwis wynika także, że mężczyzna zajmuje się tworzeniem witryn WWW i pracował min. dla PGNiG Obrót Detaliczny.
Kolejnym błędem, który zauważono, jest wczytywanie zasobów z serwerów twórców strony i dostęp do serwera deweloperskiego. Ta luka pozwoliła m.in. na identyfikację nazwiska pracownika odpowiedzialnego za tworzenie strony, a nawet odnalezienie go na Facebooku.
"Możliwość identyfikacji adresów IP"
Lista problemów ze stroną jest dłuższa i jak zauważono, "nie miałaby dużego znaczenia w przypadku przeciętnej hobbystycznej witryny internetowej, ale mowa o stronie, na której chętni do pracy w Agencji Wywiadu mogą zostawiać swoje dane osobowe".
Według autorów analizy, poważnym uchybieniem jest m.in. fakt, że witryna aw.gov.pl "wczytuje sporo zasobów z zewnętrznych serwerów, znajdujących się poza kontrolą AW, w tym Youtube, Google czy BootstrapCDN, dając administratorom tych serwisów możliwość identyfikacji adresów IP osób ją odwiedzających lub do niej aplikujących (np. przez mechanizmy Google Analytics)".
Zwrócono także uwagę, że strona powstała na darmowym, popularnym systemie WordPress i płatnym szablonie RightWay, a w związku z pozostawionymi w kodzie strony metadanymi wyrażono wątpliwość, czy został przeprowadzony audyt szablonu pod kątem bezpieczeństwa.
"Współdzielenie hostingu z przypadkowymi witrynami"
Niepokój Zaufanej Trzeciej Strony wzbudził także formularz rekrutacyjny oparty na płatnej wtyczce eForm - WordPress Form Builder. Jak podkreślono, "na samej stronie użyto wielu innych wtyczek, których kod na pewno warto przed użyciem solidnie przeaudytować".
Jak zauważono, "serwer poczty nadal korzysta ze współdzielonego hostingu z licznymi przypadkowymi witrynami".
Według Zaufanej Trzeciej Strony, na plus można zaliczyć przeniesienie strony na osobny adres IP oraz fakt, że witryna posługuje się protokołem HTTPS (czyli szyfrowaną wersją protokołu HTTP, co zapobiega przychwytywaniu i zmienianiu przesyłanych danych), którego konfiguracja jest "bardzo przyzwoita".
W odpowiedzi na pytania gazety.pl, Agencja Wywiadu napisała, że "nie będzie komentować materiału zawartego na stronie Zaufanej Trzeciej Strony. Nadmieniamy również, że witryna AW była przedmiotem audytu bezpieczeństwa".
"Lepiej audytora zmienić"
"Nasze zastrzeżenia zapewne nie miałyby racji bytu, gdy nie fakt prowadzenia na tej stronie rekrutacji, gdzie kandydaci muszą podawać swoje dane osobowe. Mamy nadzieję, że opisane powyżej problemy to raczej kłopoty wieku dziecięcego - na szczęście większość z nich można szybko i łatwo usunąć" - podkreślono w tekście Zaufanej Trzeciej Strony.
Jak dodano, "warto jednak zlecić komuś audyt bezpieczeństwa nowej strony przed jej upublicznieniem - bo nie wierzymy, że jakikolwiek audyt przeszła, a jeśli audytor nie zwrócił uwagi na opisane powyżej problemy, to lepiej audytora zmienić".
zaufanatrzeciastrona.pl, gazeta.pl, polsatnews.pl
Czytaj więcej
Komentarze