Сотрудник Mail.Ru Group нашёл уязвимость в почтовом клиенте разработчика «МойОфис», назвавшего сервисы Mail.Ru и «Яндекса» уязвимыми
Сотрудник Mail.Ru Group Карим Валиев, возглавляющий группу информационной безопасности холдинга, раскритиковал результаты исследования безопасности почтовых сервисов, проведённого компанией «Новые облачные технологии» (разработчик сервисов «МойОфис»). В нём, в частности, говорилось о высокой уязвимости почтовых сервисов Mail.Ru Group, «Яндекса» и Google и о защищённости продукта «МойОфис Почта».
В рамках исследования «Новые облачные технологии» проанализировали почтовые сервисы 72 федеральных органов исполнительной власти. Специалисты компании выяснили, что 78% госучреждений использует «неподконтрольные публичные почтовые сервисы», а значит, находятся «под угрозой взлома и утечки информации». 64% из них предпочитают почту на Mail.Ru.
На странице с анонсом исследования «Новые облачные технологии» предлагают использовать свой почтовый сервис — «защищённый» и «сертифицированный». Компания отмечает, что её продукты включены в реестр отечественного программного обеспечения.
На своей странице в Facebook Валиев написал, что ему и коллегам «стало интересно, что это за «защищённая» почта». Он рассказал, что для получения промокода для регистрации почты на сервисе «МойОфис Почта» потребовалось около двух недель. После этого Валиев решил проверить уровень защиты сервиса и, по его словам, в течение десяти минут обнаружил XSS-уязвимость, которая позволяет хакеру получить полный доступ к аккаунту жертвы.
Запасшись пиццей, я уже было приготовился провести ночь в тяжёлой схватке с защищённой российской почтой, но не тут-то было: первая XSS в теле письма нашлась за десять минут. Дальше — больше. Ещё одна XSS, CSRF, опять XSS.
Детали уязвимостей я, естественно, пока раскрывать не буду. Выслал коллегам из «МойОфис» подробное описание.
Получается, на данный момент «МойОфис» по уровню защищённости находится далеко позади Mail.Ru, «Яндекса» и других публичных почтовых сервисов, раскритикованных в этом исследовании. Пока трудно рекомендовать этот продукт к использованию тем, кто заботится о своей безопасности, и тем более, госструктурам.
— Карим Валиев, сотрудник Mail.Ru Group
В то же время Валиев отметил, что абсолютно безопасных систем нет, особенно в молодых сервисах, которые только начинают развиваться. Он порекомендовал команде «Новых облачных технологий» не «пиариться на безопасности» и не называть «дырявыми» конкурентов, пока «ваш продукт на таком уровне».
Редакция vc.ru обратилась в компанию «Новые облачные технология» с просьбой прокомментировать ситуацию и ждёт ответа.
© vc.ru
