Перейти к содержимому



Купить ссылку здесь
Фотография
- - - - -

Сотрудник Mail.Ru Group нашёл уязвимость в почтовом клиенте разработчика «МойОфис»

Форум ZiSMO.biz
0
В этой теме нет ответов

OFFLINE Отправлено

NOVES
группа пользователя

    Помощник TiR ツ

  • Cообщений: 14 520
  • Поинты: 16 877
  • Предупреждений: 0
  • Онлайн:88д 3ч 24м
536

Сотрудник Mail.Ru Group Карим Валиев, возглавляющий группу информационной безопасности холдинга, раскритиковал результаты исследования безопасности почтовых сервисов, проведённого компанией «Новые облачные технологии» (разработчик сервисов «МойОфис»). В нём, в частности, говорилось о высокой уязвимости почтовых сервисов Mail.Ru Group, «Яндекса» и Google и о защищённости продукта «МойОфис Почта».

 

 

 

В рамках исследования «Новые облачные технологии» проанализировали почтовые сервисы 72 федеральных органов исполнительной власти. Специалисты компании выяснили, что 78% госучреждений использует «неподконтрольные публичные почтовые сервисы», а значит, находятся «под угрозой взлома и утечки информации». 64% из них предпочитают почту на Mail.Ru.

 

f57eceb56bb5fb.png

 

На странице с анонсом исследования «Новые облачные технологии» предлагают использовать свой почтовый сервис — «защищённый» и «сертифицированный». Компания отмечает, что её продукты включены в реестр отечественного программного обеспечения.

 

9fc401ae6229d5.png

 

На своей странице в Facebook Валиев написал, что ему и коллегам «стало интересно, что это за "защищённая" почта». Он рассказал, что для получения промокода для регистрации почты на сервисе «МойОфис Почта» потребовалось около двух недель. После этого Валиев решил проверить уровень защиты сервиса и, по его словам, в течение десяти минут обнаружил XSS-уязвимость, которая позволяет хакеру получить полный доступ к аккаунту жертвы.

 

 

Запасшись пиццей, я уже было приготовился провести ночь в тяжёлой схватке с защищённой российской почтой, но не тут-то было: первая XSS в теле письма нашлась за десять минут. Дальше — больше. Ещё одна XSS, CSRF, опять XSS. 

Детали уязвимостей я, естественно, пока раскрывать не буду. Выслал коллегам из «МойОфис» подробное описание. 

Получается, на данный момент «МойОфис» по уровню защищённости находится далеко позади Mail.Ru, «Яндекса» и других публичных почтовых сервисов, раскритикованных в этом исследовании. Пока трудно рекомендовать этот продукт к использованию тем, кто заботится о своей безопасности, и тем более, госструктурам.

— Карим Валиев, сотрудник Mail.Ru Group

 

 

8953d415929c7e.jpg

 

В то же время Валиев отметил, что абсолютно безопасных систем нет, особенно в молодых сервисах, которые только начинают развиваться. Он порекомендовал команде «Новых облачных технологий» не «пиариться на безопасности» и не называть «дырявыми» конкурентов, пока «ваш продукт на таком уровне».

 

Обновлено в 15:13. В «Новых облачных технологиях» vc.ru сообщили, что на данный момент площадка MyOffice.ru работает в тестовом режиме для проверки функциональности.

 

 

Наша компания не оказывает конечный сервис. Площадка MyOffice.ru является тестовой песочницей для проверки функциональности, о чём мы предупреждаем. Это не коммерческий сервис, а тестовая площадка. Спасибо что изучили. Боевые версии «МойОфис Почты» разворачиваются в пилотных проектах. 

 

В вопросах безопасности мы сотрудничаем с одним из лидеров рынка аудита безопасности, компанией Digital Security. Все уязвимости, обнаруженные представителем компании Mail.ru Group, были найдены компанией Digital Security ранее, что было зафиксировано в соответствующих отчётах. Все замечания были учтены в очередном обновлении продукта, которое прошло 1 июля 2016 года.

 

— «Новые облачные технологии»

 

 

Исследование об уровне безопасности почтовых сервисов в компании объяснили стремлением «донести до чиновников, что вести служебную переписку в бесплатных публичных сервисах нельзя, какими бы удобными они ни были».

 

«Это не соответствует нормам информационной безопасности, а в отдельных случаях является нарушением российского законодательства», — отметили в компании.

 

 

Источник.





vTjidgO.png17.12CmllNEp.png24.12
lDz0Owe.jpg19.12 Место свободно
    • 0
  • Наверх
  • Ответить



Напишите свое сообщение