Оффтоп Albert Khabibrakhimov
7 593

Сотрудник Mail.Ru Group нашёл уязвимость в почтовом клиенте разработчика «МойОфис», назвавшего сервисы Mail.Ru и «Яндекса» уязвимыми

Сотрудник Mail.Ru Group Карим Валиев, возглавляющий группу информационной безопасности холдинга, раскритиковал результаты исследования безопасности почтовых сервисов, проведённого компанией «Новые облачные технологии» (разработчик сервисов «МойОфис»). В нём, в частности, говорилось о высокой уязвимости почтовых сервисов Mail.Ru Group, «Яндекса» и Google и о защищённости продукта «МойОфис Почта».

В рамках исследования «Новые облачные технологии» проанализировали почтовые сервисы 72 федеральных органов исполнительной власти. Специалисты компании выяснили, что 78% госучреждений использует «неподконтрольные публичные почтовые сервисы», а значит, находятся «под угрозой взлома и утечки информации». 64% из них предпочитают почту на Mail.Ru.

На странице с анонсом исследования «Новые облачные технологии» предлагают использовать свой почтовый сервис — «защищённый» и «сертифицированный». Компания отмечает, что её продукты включены в реестр отечественного программного обеспечения.

На своей странице в Facebook Валиев написал, что ему и коллегам «стало интересно, что это за "защищённая" почта». Он рассказал, что для получения промокода для регистрации почты на сервисе «МойОфис Почта» потребовалось около двух недель. После этого Валиев решил проверить уровень защиты сервиса и, по его словам, в течение десяти минут обнаружил XSS-уязвимость, которая позволяет хакеру получить полный доступ к аккаунту жертвы.

Запасшись пиццей, я уже было приготовился провести ночь в тяжёлой схватке с защищённой российской почтой, но не тут-то было: первая XSS в теле письма нашлась за десять минут. Дальше — больше. Ещё одна XSS, CSRF, опять XSS.

Детали уязвимостей я, естественно, пока раскрывать не буду. Выслал коллегам из «МойОфис» подробное описание.

Получается, на данный момент «МойОфис» по уровню защищённости находится далеко позади Mail.Ru, «Яндекса» и других публичных почтовых сервисов, раскритикованных в этом исследовании. Пока трудно рекомендовать этот продукт к использованию тем, кто заботится о своей безопасности, и тем более, госструктурам.

— Карим Валиев, сотрудник Mail.Ru Group

В то же время Валиев отметил, что абсолютно безопасных систем нет, особенно в молодых сервисах, которые только начинают развиваться. Он порекомендовал команде «Новых облачных технологий» не «пиариться на безопасности» и не называть «дырявыми» конкурентов, пока «ваш продукт на таком уровне».

Обновлено в 15:13. В «Новых облачных технологиях» vc.ru сообщили, что на данный момент площадка MyOffice.ru работает в тестовом режиме для проверки функциональности.

Наша компания не оказывает конечный сервис. Площадка MyOffice.ru является тестовой песочницей для проверки функциональности, о чём мы предупреждаем. Это не коммерческий сервис, а тестовая площадка. Спасибо что изучили. Боевые версии «МойОфис Почты» разворачиваются в пилотных проектах.

В вопросах безопасности мы сотрудничаем с одним из лидеров рынка аудита безопасности, компанией Digital Security. Все уязвимости, обнаруженные представителем компании Mail.ru Group, были найдены компанией Digital Security ранее, что было зафиксировано в соответствующих отчётах. Все замечания были учтены в очередном обновлении продукта, которое прошло 1 июля 2016 года.

— «Новые облачные технологии»

Исследование об уровне безопасности почтовых сервисов в компании объяснили стремлением «донести до чиновников, что вести служебную переписку в бесплатных публичных сервисах нельзя, какими бы удобными они ни были».

«Это не соответствует нормам информационной безопасности, а в отдельных случаях является нарушением российского законодательства», — отметили в компании.

#новость #яндекс #Google #почтовые_сервисы #mail_ru_group #Новые_облачные_технологии #МойОфис

Статьи по теме
Минкомсвязи России внесло аналог пакета Microsoft Office «МойОфис» в единый реестр российского ПО
{ "author_name": "Albert Khabibrakhimov", "author_type": "editor", "tags": ["\u044f\u043d\u0434\u0435\u043a\u0441","\u043f\u043e\u0447\u0442\u043e\u0432\u044b\u0435_\u0441\u0435\u0440\u0432\u0438\u0441\u044b","\u043d\u043e\u0432\u044b\u0435_\u043e\u0431\u043b\u0430\u0447\u043d\u044b\u0435_\u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0438","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u043c\u043e\u0439\u043e\u0444\u0438\u0441","mail_ru_group","google"], "comments": 34, "likes": 16, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 16632, "is_wide": true, "is_ugc": false, "date": "Fri, 01 Jul 2016 14:10:14 +0300" }
{ "id": 16632, "author_id": 53259, "diff_limit": 1000, "urls": {"diff":"\/comments\/16632\/get","add":"\/comments\/16632\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/16632"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791 }

34 комментария 34 комм.

Популярные

По порядку

Написать комментарий...
20

Моська лает на слона, а сам обосралась

Ответить

Комментарий удален

Комментарий удален

Комментарий удален

16

Это не только про почту - это про всю работу в НОТ ;)

Ответить
–17

Надеюсь, господа комментаторы понимают разницу между демо-стендом в онлайне и развернутым в защищенном периметре решением? Ну там, дев/прод, версионность, вот это все?

Если что, то мы разворачиваем большой апдейт как раз в эти дни, в котором учтены в том числе те моменты, о которых пишет Карим.

Ответить
19

разницу между демо-стендом в онлайне и развернутым в защищенном периметре решением

не смешите пожалуйста. xss - это чисто функциональная проблема, которая не зависит от локации вашего решения. 

Скорее всего ваше "в котором учтены в том числе те моменты, о которых пишет Карим" стали учтены, после того, как Карим их вам выслал в частном порядке :)

Ответить
–1

https://www.facebook.com/ila.mky/posts/1076425979112787

Компания Digital Security сотрудничает с Новыми облачными технологиями в сфере безопасности программных продуктов. Недавно мы начали постепенную регулярную работу по анализу релизов продуктов НОТ, повышая уровень их защищенности. Это долгий постоянный процесс.
Все уязвимости, обнаруженные экспертом Mail.RU Каримом Валиевым, были найдены нами ранее в ходе работ, о чем были представлены соответствующие репорты. Насколько нам известно, эксперты НОТ запатчили уязвимости, однако, в доступе для партнеров осталась версия Почты Мой Офис без обновлений. Именно эту версию взял для тестирования и анализа Карим Валиев."

Ответить
10

Нет тут одни лузеры собрались пива попить. Смысл тестовой площадки если на ней у вас не так, как на "защищенном периметре решением". Он кстати чем защищен? Тупо от интернета отключен? ;)

Ответить
–1

Тестовая площадка предназначена не для тестирования безопасности, это интерфейсный стенд )

Ответить
6

Вы о чем?! У вас баги в ИНТЕРФЕЙСЕ!!!

Ответить
5

Чуваки, наймите что ли нормальных технарей. Они вам "Ну там, дев/прод, версионность, вот это все?" нормально засетапят. Будете работать в удовольствие, а то сейчас со стороны одни грабли, бекдоры да хардкоды. Оно и понятно - попали в список импортозамещения. Легкие деньги. Так бы лет 100 дорогу пробивали. А тут с легкой руки правительства мана свалилась, нужно срочно крыть козырями, а из козырей один недоделанный тестовый сервак. Ну ок. Молодцы.

Ответить
3

Федь, ты, канеш, молодец, но вы, канеш, обосрались. Вообще "пиар" на обсёре чужих решений часто выходит боком. Ну на кой хер надо было с Мэйлом и Яндексом ссориться?

Ответить
3

Поддержу. Не знаю лично Фёдора, но слова пишет умные. Но какая то непруха с компаниями то ФРИИ то МойОфис. Боюсь как бы парня в ГосУслуги не занесло за "бесплатной зарплатой". Без обид!

Ответить
0

Проколотые крашеные метросексуалы нигде не нужны.

Ответить
0

А чем вам госуслуги не нравятся? .)

Ответить
1

А чем тебе мой комментарий не понравился?

Ответить
0

Отвечу всем сразу:

1. Валя, твой за компанию, с телефона .) Отжал уже!

2. Стас, потому что в ваших словах читается неприязнь сразу к нескольким проектам, которые я ценю .)

3. Антон, туда! :D

Ответить
1

И мой комент чем не понравился? Психанул и всех дизлайкнул?

Ответить
1

А че у вас так бомбануло, вас разве ещё не протащили во все гос структуры?

Ответить
1

Федя, ну ты то куда.

Ответить
4

- Ты стал уязвим, мастер Мэй ОФ!
- Моё кунг-фу лучше твоего, мастер Мэй Рю!

Ответить
3

компаративная фаллометрия налицо

Ответить
2

Я знаю ребят из Мой Офис, очень толковые. Но пиарщик-маркетолог, простите, обосрался.

Ответить
0

Очень толковын ребята по определению не могут делать такое г. Лучше майкрософта все равно не выпустят, просто хотят подсесть на госзаказ

Ответить
–1

Интересная у тебя фамилия)

Ответить
2

А им нельзя вкатать иск за защиту деловой репутации?

Ответить
2

Ну что, хоть из этого-то получится нормальный срач?

Ответить
1

Так "УБИЙЦУ" всех почтовых серверов мы уже видим ;)
С нетерпением ждем-с лицезреть "УБИЙЦУ" микрософта офиса. Там дела скорее всего еще хуже чем с почтой :)

Ответить
1

"С нетерпением ждем-с лицезреть "УБИЙЦУ" микрософта офиса."

Где-то у меня валялась 5" дискета с "Лексиконом"... )))

Ответить
1

Извините, у вас XSS! - написал Валиев коллега в "Мой офис"

Ответить
1

Зачем юзать мой офис когда есть майкрософт офис? Мы купили лицензию и в ус не дуем

Ответить
1

"вероятность программных закладок" - какой пиздец

Ответить
1

C каких это пор сервис "оказывают"? Ох, как права была моя первая начальница, говорившая: "Хорошего инженера без общей культуры не бывает". P.S. "Общая культура" помимо прочего подразумевает и грамотное владение РОДНЫМ языком.

Ответить
0

бывает такое дело, что согласования отсутствуют по причине того, что изначально предложение было построено иным образом)

Ответить
0

обоюдный пиар ...

Ответить
0

"Вот пидорасы!" (с) Я

Ответить

Комментарий удален

0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Хакеры смогли обойти двухфакторную
авторизацию с помощью уговоров
Подписаться на push-уведомления