Сотрудник Mail.Ru Group нашел уязвимость в почтовом клиенте разработчика «МойОфис», назвавшего сервисы Mail.Ru и «Яндекса» уязвимыми
Сотрудник Mail.Ru Group Карим Валиев, возглавляющий группу информационной безопасности холдинга, раскритиковал результаты исследования безопасности почтовых сервисов, проведенного компанией «Новые облачные технологии» (разработчик сервисов «МойОфис»). В нем, в частности, говорилось о высокой уязвимости почтовых сервисов Mail.Ru Group, «Яндекса» и Google и о защищенности продукта «МойОфис Почта».
В рамках исследования «Новые облачные технологии» проанализировали почтовые сервисы 72 федеральных органов исполнительной власти. Специалисты компании выяснили, что 78% госучреждений использует «неподконтрольные публичные почтовые сервисы», а значит, находятся «под угрозой взлома и утечки информации». 64% из них предпочитают почту на Mail.Ru.
На странице с анонсом исследования «Новые облачные технологии» предлагают использовать свой почтовый сервис - «защищенный» и «сертифицированный». Компания отмечает, что ее продукты включены в реестр отечественного программного обеспечения.
На своей странице в Facebook Валиев написал, что ему и коллегам «стало интересно, что это за "защищенная" почта». Он рассказал, что для получения промокода для регистрации почты на сервисе «МойОфис Почта» потребовалось около двух недель. После этого Валиев решил проверить уровень защиты сервиса и, по его словам, в течение десяти минут обнаружил XSS-уязвимость, которая позволяет хакеру получить полный доступ к аккаунту жертвы.
В то же время Валиев отметил, что абсолютно безопасных систем нет, особенно в молодых сервисах, которые только начинают развиваться. Он порекомендовал команде «Новых облачных технологий» не «пиариться на безопасности» и не называть «дырявыми» конкурентов, пока «ваш продукт на таком уровне».
Редакция обратилась в компанию «Новые облачные технология» с просьбой прокомментировать ситуацию и ждет ответа.
