В почтовом сервисе для чиновников нашли уязвимости за 10 минут
Сотрудник Mail.ru Карим Валиев в своем Facebook рассказал об уязвимостях в специальном почтовом сервисе для российских чиновников от компании "МойОфис".
Внимание программиста привлекло исследование безопасности почтовых сервисов, выпущенное под названием "Росгоспочта". В нем утверждалось, что для рабочей переписки нельзя использовать почту от Mail.Ru, Яндекс и Gmail, поскольку ящики на ней "подвержены высокой вероятности взлома".
В то же время утверждалось, что почта "МойОфис" является "защищенной и сертифицированной". Валиев обратился к сотрудникам компании с просьбой предоставить ему почтовый ящик (сервис не имеет свободной регистрации). Процесс занял две недели, однако первые уязвимости специалист обнаружил уже через десять минут после регистрации.
"Запасшись пиццей, я уже было приготовился провести ночь в тяжелой схватке с защищенной российской почтой, но не тут-то было: первая XSS в теле письма нашлась за 10 минут. Дальше - больше. Еще одна XSS, CSRF, опять XSS. То есть, в прямом смысле: ты думаешь, какая еще “ типичная” уязвимость может найтись в веб-почте, проверяешь, и либо эта уязвимость там есть, либо этот функционал еще не реализован:) Например, нет XSS в превью (предпросмотр) почтовых аттачей. Потому что превью почтовых аттачей (вложений) пока не сделали", - пишет он.
Подробности об обнаруженных "дырах" в безопасности сервиса Валиев отправил его создателям.
Под XSS-уязвимостями в данном случае имеются в виду способы внедрения и выполнения посторонних строчек кода в интерфейс почтового сервиса через поступающие клиенту письма. С помощью XSS-атаки злоумышленник может в том числе и получить доступ к другим письмам пользователя.