25 июня суббота
ДОЛЛАР 53.32 -0.03
ЕВРО 55.96 -0.02
ЮАНЬ 80.18 0.13
ФУНТ 65.28 -0.11
SBER
0 ₽ 0.00
Yandex
0 ₽ 0.00
Mail.Ru Group
0 ₽ 0.00
Ростелеком
0 ₽ 0.00
QIWI
0 ₽ 0.00
Ozon
0 ₽ 0.00

Сотрудник Mail.ru Group нашел уязвимости в почтовом клиенте «МойОфис»

Об этом он сообщил на своей странице в Facebook

Лента новостей
1 июля 2016, Редакция | 👁 1978

Сотрудник Mail.ru Group нашел уязвимости в почтовом клиенте «МойОфис»

Об этом он сообщил на своей странице в Facebook

Карим Валиев, руководитель группы информационной безопасности Почты Mail.Ru, опубликовал на своей странице результаты тестирования на защищенность почтового клиента МойОфис. Поводом послужило исследование компании месяц назад, в котором МойОфис рассказывал о том, что публичные почтовые сервисы не могут обеспечить госслужащим должный уровень защиты. theRunet публикует полный текст поста. 

Недавно ребята из МойОфис выпустили резонансное исследование безопасности почтовых сервисов, используемых госучреждениями в России. Выводы были такие: не используйте для рабочей переписки Mail. Ru, Яндекс и Gmail, потому что ящики на них подвержены «высокой вероятности взлома», используйте Почту МойОфис, потому что она «защищенная» и сертифицированная.

Естественно, нам стало интересно, что это за «защищенная почта». «Защищенность» проявилась сразу: зарегистрироваться на сайте просто так нельзя. Мне пришлось 2 недели переписываться и созваниваться с интеграторами, чтобы наконец получить промокод для регистрации.

Запасшись пиццей, я уже было приготовился провести ночь в тяжелой схватке с защищенной российской почтой, но не тут-то было: первая XSS в теле письма нашлась за 10 минут.

Дальше — больше. Еще одна XSS, CSRF, опять XSS.

XSS  в почте МойОфис

XSS в почте МойОфис

То есть, в прямом смысле: ты думаешь, какая еще «типичная» уязвимость может найтись в веб-почте, проверяешь, и либо эта уязвимость там есть, либо этот функционал еще не реализован. Например, нет XSS в превью почтовых аттачей. Потому что превью почтовых аттачей пока не сделали.

Для тех, кто не глубоко погружен в тему, XSS — это клиентсайд-уязвимость, которая позволяет хакеру получить доступ к аккаунту жертвы, например, если жертва перейдет по специальной вредоносной ссылке. От XSS в теле письма не защитит ни установка продукта на своих серверах, ни запрет на доступ к сервису снаружи.

Детали уязвимостей я, естественно, пока раскрывать не буду (выслал коллегам из МойОфис подробное описание).

Получается, на данный момент МойОфис по уровню защищенности находится далеко позади Mail. Ru, Яндекса и других публичных почтовых сервисов, раскритикованных в этом исследовании. Пока трудно рекомендовать этот продукт к использованию тем, кто заботится о своей безопасности, и тем более, госструктурам.

С одной стороны, абсолютно безопасных систем не бывает, везде есть уязвимости, особенно в молодых сервисах, которые только начинают развиваться. МойОфис явно работает над улучшением своей защищенности: недавно появилась новость о том, что они заказали аудит у DSec. Если бы не одно, но: когда ваш продукт на таком уровне, несколько преждевременно пиариться на безопасности, называя «дырявыми» конкурентов.

И да, если уж сравнивать уровень безопасности, давайте делать это честно: открывайте доступ для всех желающих, запускайте Bug Bounty программу, ищите и репортите баги у других сервисов. В конце концов, честная конкуренция в этой сфере полезна для всех:)

UPD. МойОфис прокомментировал ситуацию с уязвимостями и исследованием. 

Main_13524505_10154327743544375_4350249188523555452_n
Лилиана Пертенава
директор по коммуникациям
«Новые Облачные Технологии»

<p>«Что касается исследования по почтовой инфраструктуре в государственных учреждениях РФ (ROSGOSPOCHTA.ru) — то нам было важно донести до чиновников — что вести служебную переписку в бесплатных публичных сервисах — нельзя. Какими бы удобными они ни были. Это не соответствует нормам информационной безопасности, а также, в отдельных случаях служебной переписки, является нарушением Российского законодательства.
</p>
<p>
Хочу отдельно отметить, что наша компания не оказывает конечный сервис. Мы не делаем «облачную почту» и площадка MyOffice.ru является тестовой песочницей для проверки функциональности, о чем мы предупреждаем тех, кому выдаем доступ. Это не коммерческий сервис, а тестовая площадка. </p>
<p>
Боевые версии клиент/сервер МойОфис Почты разворачиваются в пилотных проектах различных организаций и если данное сообщение является официальным запросом корпорации Mail.ru на поверку уязвимостей — мы с радостью развернем почту МойОфис, предназначенную для заказчиков, для их тестирования. Пока что официального запроса на проверку уязвимостей мы от коллег не получали»</p>

Новости smi2.ru
Комментарии 0
Зарегистрируйтесь или , чтобы оставлять комментарии.