Agencja Wywiadu ruszyła właśnie z kampanią rekrutacyjną. Chętni do pracy mogą aplikować przez specjalną stronę internetową. Problem w tym, że poziom jej zabezpieczeń pozostawia wiele do życzenia. Można nawet wykraść dane osobowe przyszłych szpiegów.
Nowej stronie AW przyjrzeli się specjaliści z serwisu Zaufana Trzecia Storna. Ich wnioski są alarmujące – witryna nie powinna była przejść audytu bezpieczeństwa. Screen ze strony https://aw.gov.pl/rekrutacja/
Nowej stronie AW przyjrzeli się specjaliści z serwisu Zaufana Trzecia Strona. Ich wnioski są alarmujące – witryna nie powinna była przejść audytu bezpieczeństwa. Eksperci z łatwością zidentyfikowali autora strony, można też bez większych problemów ustalić adresy IP osób z niej korzystających.
ZTS donosi, że witryna została postawiona na popularnym, darmowym systemie WordPress i płatnym szablonie RightWay. Z kolei formularz kontaktowy jest oparty na kolejnej płatnej wtyczce – WordPress Form Builder. Podobnych wtyczek jest dużo więcej. Eksperci podkreślają, że w przypadku strony hobbystycznej nie byłby to problem, ale tu swoje dane osobowe mają zostawiać osoby chętne do pracy w polskim wywiadzie.
Szybko zidentyfikowano też autora strony, a więc osobę mającą pełny dostęp do wszystkich danych na niej zawartych i zostawianych. Jest to mężczyzna, zajmuje się tworzeniem stron. Wiadomo jakie ma zainteresowania, ile ma lat i jak się nazywa.
Według autorów analizy, poważnym uchybieniem jest m.in. fakt, że witryna aw.gov.pl "wczytuje sporo zasobów z zewnętrznych serwerów, znajdujących się poza kontrolą AW, w tym Youtube, Google czy BootstrapCDN, dając administratorom tych serwisów możliwość identyfikacji adresów IP osób ją odwiedzających lub do niej aplikujących (np. przez mechanizmy Google Analytics)".
Autorzy publikacji sugerują, że storna nie powinna była przejść żadnego audytu bezpieczeństwa. Agencja Wywiadu w krótkim komunikacie twierdzi, że witryna taki audyt przeszła i więcej sprawy nie będzie poruszać. „Zmieńcie audytora” – kwitują eksperci Zaufanej Trzeciej Strony.
