Mail.ru и “Мой офис” обменялись претензиями из-за уязвимости почтовых клиентов


В пятницу руководитель группы информационной безопасности почты Mail.Ru Карим Валиев рассказал на странице в Facebook, что провел тестирование почтового клиента “Новых облачных технологий” “для чиновников” – “Мой офис”, и пришел к выводу, что он содержит уязвимости.

Валиев утверждает, что на поиск уязвимостей у него ушло всего 10 минут. При этом, отмечает специалист, он потратил около двух недель на то, чтобы получить промокод для регистрации в почтовом сервисе. Самой распространенной проблемой, отмечает Валиев, является уязвимость типа XSS. Она позволяет хакеру получить доступ к аккаунту жертвы, например, если жертва перейдет по специальной вредоносной ссылке. Такая ссылка может быть включена в тело письма.

Валиев подчеркивает, что на тестирование его сподвигло ранее опубликованное исследование “Новых облачных технологий”, в котором те критикуют уровень защищенности почтовых систем типа Mail.ru, “Яндекс” и других популярных сервисов. По данным этого исследования (есть у “Ведомостей”), доля использующих публичные почтовые сервисы госорганов составляет 78%. Авторы документа отметили, что более 60% федеральных органов власти и силовых структур используют такие сервисы для служебной переписки, что грозит поставить под угрозу кибербезопасность госорганизаций, а также привести к утечке конфиденциальной информации. Только 7% ведомств пользуются специальными ведомственными почтовыми сервисами, отмечают “Новые облачные технологии”, их они считают более защищенными.

“Получается, на данный момент “Мой офис” по уровню защищенности находится далеко позади Mail.ru, “Яндекса” и других публичных почтовых сервисов, раскритикованных в этом исследовании”, – считает Валиев. Он отмечает, что “пока трудно рекомендовать этот продукт к использованию тем, кто заботится о своей безопасности, и тем более госструктурам”.

Представитель “Моего офиса” Федор Скуратов в ответ на это на своей странице в Facebook заявил, что “Карим тестировал февральскую версию “Мой офис почта”. Он также отметил, что скоро у компании будет новый релиз, в котором заранее все учли найденные коллегами уязвимости. Также Скуратов подчеркивает, что ошибки и баги бывают у всех сервисов.

Уязвимости, которые нашла Mail.Ru Group, компания Digital Security (проводит заказной анализ уязвимостей компьютерных систем) находила в тестовом продукте “Новых облачных технологий” еще осенью прошлого года, говорит директор Digital Security Илья Медведовский. По его словам, в нынешней версии продукта “Новые облачные технологии” уже устранили эту проблему.

Leave a Reply

Your email address will not be published. Required fields are marked *