Сотрудник Mail.Ru Group нашёл уязвимость в почтовом клиенте разработчика «МойОфис», назвавшего сервисы Mail.Ru и «Яндекса» уязвимыми Статьи редакции

Сотрудник Mail.Ru Group Карим Валиев, возглавляющий группу информационной безопасности холдинга, раскритиковал результаты исследования безопасности почтовых сервисов, проведённого компанией «Новые облачные технологии» (разработчик сервисов «МойОфис»). В нём, в частности, говорилось о высокой уязвимости почтовых сервисов Mail.Ru Group, «Яндекса» и Google и о защищённости продукта «МойОфис Почта».

В рамках исследования «Новые облачные технологии» проанализировали почтовые сервисы 72 федеральных органов исполнительной власти. Специалисты компании выяснили, что 78% госучреждений использует «неподконтрольные публичные почтовые сервисы», а значит, находятся «под угрозой взлома и утечки информации». 64% из них предпочитают почту на Mail.Ru.

На странице с анонсом исследования «Новые облачные технологии» предлагают использовать свой почтовый сервис — «защищённый» и «сертифицированный». Компания отмечает, что её продукты включены в реестр отечественного программного обеспечения.

На своей странице в Facebook Валиев написал, что ему и коллегам «стало интересно, что это за "защищённая" почта». Он рассказал, что для получения промокода для регистрации почты на сервисе «МойОфис Почта» потребовалось около двух недель. После этого Валиев решил проверить уровень защиты сервиса и, по его словам, в течение десяти минут обнаружил XSS-уязвимость, которая позволяет хакеру получить полный доступ к аккаунту жертвы.

Запасшись пиццей, я уже было приготовился провести ночь в тяжёлой схватке с защищённой российской почтой, но не тут-то было: первая XSS в теле письма нашлась за десять минут. Дальше — больше. Ещё одна XSS, CSRF, опять XSS.

Детали уязвимостей я, естественно, пока раскрывать не буду. Выслал коллегам из «МойОфис» подробное описание.

Получается, на данный момент «МойОфис» по уровню защищённости находится далеко позади Mail.Ru, «Яндекса» и других публичных почтовых сервисов, раскритикованных в этом исследовании. Пока трудно рекомендовать этот продукт к использованию тем, кто заботится о своей безопасности, и тем более, госструктурам.

— Карим Валиев, сотрудник Mail.Ru Group

В то же время Валиев отметил, что абсолютно безопасных систем нет, особенно в молодых сервисах, которые только начинают развиваться. Он порекомендовал команде «Новых облачных технологий» не «пиариться на безопасности» и не называть «дырявыми» конкурентов, пока «ваш продукт на таком уровне».

Обновлено в 15:13. В «Новых облачных технологиях» vc.ru сообщили, что на данный момент площадка MyOffice.ru работает в тестовом режиме для проверки функциональности.

Наша компания не оказывает конечный сервис. Площадка MyOffice.ru является тестовой песочницей для проверки функциональности, о чём мы предупреждаем. Это не коммерческий сервис, а тестовая площадка. Спасибо что изучили. Боевые версии «МойОфис Почты» разворачиваются в пилотных проектах.

В вопросах безопасности мы сотрудничаем с одним из лидеров рынка аудита безопасности, компанией Digital Security. Все уязвимости, обнаруженные представителем компании Mail.ru Group, были найдены компанией Digital Security ранее, что было зафиксировано в соответствующих отчётах. Все замечания были учтены в очередном обновлении продукта, которое прошло 1 июля 2016 года.

— «Новые облачные технологии»

Исследование об уровне безопасности почтовых сервисов в компании объяснили стремлением «донести до чиновников, что вести служебную переписку в бесплатных публичных сервисах нельзя, какими бы удобными они ни были».

«Это не соответствует нормам информационной безопасности, а в отдельных случаях является нарушением российского законодательства», — отметили в компании.

0
34 комментария
Популярные
По порядку
Написать комментарий...
Денис Кудрявцев

Моська лает на слона, а сам обосралась

Ответить
20
Развернуть ветку

Комментарий удален

Развернуть ветку

Комментарий удален

Развернуть ветку

Комментарий удален

Развернуть ветку
Роман Чурилов

Это не только про почту - это про всю работу в НОТ ;)

Ответить
16
Развернуть ветку
Фёдор Скуратов

Надеюсь, господа комментаторы понимают разницу между демо-стендом в онлайне и развернутым в защищенном периметре решением? Ну там, дев/прод, версионность, вот это все?

Если что, то мы разворачиваем большой апдейт как раз в эти дни, в котором учтены в том числе те моменты, о которых пишет Карим.

Ответить
–17
Развернуть ветку
Роман Чурилов

разницу между демо-стендом в онлайне и развернутым в защищенном периметре решением

не смешите пожалуйста. xss - это чисто функциональная проблема, которая не зависит от локации вашего решения. 

Скорее всего ваше "в котором учтены в том числе те моменты, о которых пишет Карим" стали учтены, после того, как Карим их вам выслал в частном порядке :)

Ответить
19
Развернуть ветку
Фёдор Скуратов

https://www.facebook.com/ila.mky/posts/1076425979112787

Компания Digital Security сотрудничает с Новыми облачными технологиями в сфере безопасности программных продуктов. Недавно мы начали постепенную регулярную работу по анализу релизов продуктов НОТ, повышая уровень их защищенности. Это долгий постоянный процесс.
Все уязвимости, обнаруженные экспертом Mail.RU Каримом Валиевым, были найдены нами ранее в ходе работ, о чем были представлены соответствующие репорты. Насколько нам известно, эксперты НОТ запатчили уязвимости, однако, в доступе для партнеров осталась версия Почты Мой Офис без обновлений. Именно эту версию взял для тестирования и анализа Карим Валиев."

Ответить
–1
Развернуть ветку
Stas Sokolov

Нет тут одни лузеры собрались пива попить. Смысл тестовой площадки если на ней у вас не так, как на "защищенном периметре решением". Он кстати чем защищен? Тупо от интернета отключен? ;)

Ответить
10
Развернуть ветку
Фёдор Скуратов

Тестовая площадка предназначена не для тестирования безопасности, это интерфейсный стенд )

Ответить
–1
Развернуть ветку
Роман Чурилов

Вы о чем?! У вас баги в ИНТЕРФЕЙСЕ!!!

Ответить
6
Развернуть ветку
Stas Sokolov

Чуваки, наймите что ли нормальных технарей. Они вам "Ну там, дев/прод, версионность, вот это все?" нормально засетапят. Будете работать в удовольствие, а то сейчас со стороны одни грабли, бекдоры да хардкоды. Оно и понятно - попали в список импортозамещения. Легкие деньги. Так бы лет 100 дорогу пробивали. А тут с легкой руки правительства мана свалилась, нужно срочно крыть козырями, а из козырей один недоделанный тестовый сервак. Ну ок. Молодцы.

Ответить
5
Развернуть ветку
Valentin Dombrovsky

Федь, ты, канеш, молодец, но вы, канеш, обосрались. Вообще "пиар" на обсёре чужих решений часто выходит боком. Ну на кой хер надо было с Мэйлом и Яндексом ссориться?

Ответить
3
Развернуть ветку
Stas Sokolov

Поддержу. Не знаю лично Фёдора, но слова пишет умные. Но какая то непруха с компаниями то ФРИИ то МойОфис. Боюсь как бы парня в ГосУслуги не занесло за "бесплатной зарплатой". Без обид!

Ответить
3
Развернуть ветку
Злой Одуванчик

Проколотые крашеные метросексуалы нигде не нужны.

Ответить
0
Развернуть ветку
Фёдор Скуратов

А чем вам госуслуги не нравятся? .)

Ответить
0
Развернуть ветку
Valentin Dombrovsky

А чем тебе мой комментарий не понравился?

Ответить
1
Развернуть ветку
Фёдор Скуратов

Отвечу всем сразу:

1. Валя, твой за компанию, с телефона .) Отжал уже!

2. Стас, потому что в ваших словах читается неприязнь сразу к нескольким проектам, которые я ценю .)

3. Антон, туда! :D

Ответить
0
Развернуть ветку
Stas Sokolov

И мой комент чем не понравился? Психанул и всех дизлайкнул?

Ответить
1
Развернуть ветку
Виктор Птахин

А че у вас так бомбануло, вас разве ещё не протащили во все гос структуры?

Ответить
1
Развернуть ветку
Антон Пискунов

Федя, ну ты то куда.

Ответить
1
Развернуть ветку
Alex Demin

- Ты стал уязвим, мастер Мэй ОФ!
- Моё кунг-фу лучше твоего, мастер Мэй Рю!

Ответить
4
Развернуть ветку
Алексей Патрин

компаративная фаллометрия налицо

Ответить
3
Развернуть ветку
Ivan Gorshunov

Я знаю ребят из Мой Офис, очень толковые. Но пиарщик-маркетолог, простите, обосрался.

Ответить
2
Развернуть ветку
Дмитрий Черепанов

Очень толковын ребята по определению не могут делать такое г. Лучше майкрософта все равно не выпустят, просто хотят подсесть на госзаказ

Ответить
0
Развернуть ветку
Alexander Shibaev

Интересная у тебя фамилия)

Ответить
–1
Развернуть ветку
Денис Кудрявцев

А им нельзя вкатать иск за защиту деловой репутации?

Ответить
2
Развернуть ветку
Visait Nunaev

Ну что, хоть из этого-то получится нормальный срач?

Ответить
2
Развернуть ветку
Роман Чурилов

Так "УБИЙЦУ" всех почтовых серверов мы уже видим ;)
С нетерпением ждем-с лицезреть "УБИЙЦУ" микрософта офиса. Там дела скорее всего еще хуже чем с почтой :)

Ответить
1
Развернуть ветку
Nekto Nikto

"С нетерпением ждем-с лицезреть "УБИЙЦУ" микрософта офиса."

Где-то у меня валялась 5" дискета с "Лексиконом"... )))

Ответить
1
Развернуть ветку
Ilya Suragin

Извините, у вас XSS! - написал Валиев коллега в "Мой офис"

Ответить
1
Развернуть ветку
Дмитрий Черепанов

Зачем юзать мой офис когда есть майкрософт офис? Мы купили лицензию и в ус не дуем

Ответить
1
Развернуть ветку
Pavel Osadchuk

"вероятность программных закладок" - какой пиздец

Ответить
1
Развернуть ветку
portfolio-demo

C каких это пор сервис "оказывают"? Ох, как права была моя первая начальница, говорившая: "Хорошего инженера без общей культуры не бывает". P.S. "Общая культура" помимо прочего подразумевает и грамотное владение РОДНЫМ языком.

Ответить
1
Развернуть ветку
Денис Кудрявцев

бывает такое дело, что согласования отсутствуют по причине того, что изначально предложение было построено иным образом)

Ответить
0
Развернуть ветку
Григорий Селезнев

обоюдный пиар ...

Ответить
0
Развернуть ветку
ObliQ Brutale

"Вот пидорасы!" (с) Я

Ответить
0
Развернуть ветку

Комментарий удален

Развернуть ветку
Читать все 34 комментария
Московский акселератор – короткий путь к мечте!

У нас отличная новость: стартовала постакселерационная программа для участников треков AI Factory, T&M, Digital health, ArchTech. И он отличается от тех постакселераторов, какие были до этого. Чем? Сейчас расскажем.

Agile. Неочевидные и вероятные кейсы применения

Agile — понятие, которое уже давно вышло за пределы IT. Сейчас так модно работать, жить, чистить зубы и даже спать. Однако немало компаний до сих пор отрицают agile в областях, отличных от разработки ПО. Давайте разберёмся в причинах и поймём, можно ли применить его где-то ещё или правда за консерваторами?

Я запарился перебирать онлайн-кинотеатры и создал агрегатор «Кино.Вино»

Есть такая проблема в век официальных/модных/современных (нужное подчеркнуть) онлайн-кинотеатров — их стало много, а выбрать где смотреть, да ещё и по более выгодной цене когда контент платный, занятие утомляющее.

Как снизить стоимость за установку приложения с помощью тестирования креатива: кейс Joom и Aitarget Tech

Может ли цвет креатива или расположение цены влиять на стоимость установки приложения? Эти и другие гипотезы платформа Aitarget Tech позволяет тестировать для Joom, одного из крупнейших маркетплейсов в Европе и Азии. Делимся результатами тестирования гипотез и рассказываем о подходе, который позволяет автоматизировать процесс.

ЦБ выступил против предложений Минфина о регулировании криптовалют Статьи редакции

Подход Минфина угрожает появлением «параллельной финансовой системы», считает регулятор.

«Альфа-Банк» выдает кредиты онлайн-мошенникам без должной идентификации клиентов и отказывается аннулировать договор
Озон больше месяца не публикует негативный отзыв
Кейс: запустить шрифт для дислексиков и увеличить количество скачиваний приложения на 70%

Зачем — рассказывают дизайнер, логопед и агентство.

Как оценивать дизайн: Метод 3К, ч. 1

Раскладываем процесс оценки разрабатываемого дизайна на систему вопросов.

Ozon добавил данные Росаккредитации уже в 1 млн товарных карточек: найти их непросто

Это значит, что маркетплейс и ведомство уже успели обменяться данными 1 000 000 товаров, сопоставить эти позиции с документами в базах Росаккредитации и подтвердить их безопасность. На страницах этих товаров теперь есть соответствующая пометка.

Apple отчиталась о рекордной выручке в $123,9 млрд за квартал Статьи редакции

Больше половины принесли продажи iPhone.

null