Специалист по информационной безопасности Mail.Ru Group Карим Валиев рассказал у себя в Facebook, что ему удалось обнаружить ряд уязвимостей в сервисе «МойОфис». Его изыскания стали ответом на масштабное исследование, проведенное компанией «Новые облачные технологии», разработавшей «МойОфис». В нем утверждалось, что почтовые сервисы Mail.Ru, «Яндекс» и Gmail небезопасны и подвержены риску взлома, тогда как «МойОфис» является защищенным и сертифицированным сервисом.

Валиев пишет, что «защищенность» сервиса он почувствовал сразу, когда не смог даже зарегистрироваться на сайте. Исследователю пришлось две недели переписываться и созваниваться с интеграторами, чтобы получить промокод для регистрации.

«Запасшись пиццей, я уже было приготовился провести ночь в тяжелой схватке с защищенной российской почтой, но не тут-то было: первая XSS в теле письма нашлась за 10 минут, — рассказывает Валиев. — Дальше — больше. Еще одна XSS, CSRF, опять XSS.

То есть, в прямом смысле: ты думаешь, какая еще “типичная” уязвимость может найтись в веб-почте, проверяешь, и либо эта уязвимость там есть, либо этот функционал еще не реализован 🙂 Например, нет XSS в превью почтовых аттачей. Потому что превью почтовых аттачей пока не сделали».

Подробную информацию об уязвимостях сотрудник Mail.Ru Group раскрывать не стал, так как они были еще активны на момент публикации поста.

«Получается, на данный момент МойОфис по уровню защищенности находится далеко позади Mail.Ru, “Яндекса” и других публичных почтовых сервисов, раскритикованных в этом исследовании. Пока трудно рекомендовать этот продукт к использованию тем, кто заботится о своей безопасности, и тем более, госструктурам, — подытоживает исследователь.

С одной стороны, абсолютно безопасных систем не бывает, везде есть уязвимости, особенно в молодых сервисах, которые только начинают развиваться. “МойОфис” явно работает над улучшением своей защищенности: недавно появилась новость о том, что они заказали аудит у DSec. Если бы не одно но: когда ваш продукт на таком уровне, несколько преждевременно пиариться на безопасности, называя “дырявыми” конкурентов».

Представители компании «Новые облачные технологии» уже прокомментировали заявления Валиева. Так, изданию vc.ru в компании сообщили, что «МойОфис» пока работает в тестовом режиме и фактически является лишь стендом для проверки функциональности:

«Наша компания не оказывает конечный сервис. Площадка MyOffice.ru является тестовой песочницей для проверки функциональности, о чем мы предупреждаем. Это не коммерческий сервис, а тестовая площадка. Спасибо что изучили. Боевые версии «МойОфис Почты» разворачиваются в пилотных проектах.

В вопросах безопасности мы сотрудничаем с одним из лидеров рынка аудита безопасности, компанией Digital Security. Все уязвимости, обнаруженные представителем компании Mail.ru Group, были найдены компанией Digital Security ранее, что было зафиксировано в соответствующих отчетах. Все замечания были учтены в очередном обновлении продукта, которое прошло 1 июля 2016 года».

Сегодня, 1 июля 2016 года, компания действительно представила большое обновление для семейства приложений «МойОфис», по видимому, устранившее вышеозначенные баги.

Фото: Карим Валиев

1 комментарий

  1. Jeffrey Davis

    04.07.2016 at 09:58

    Карим Валиев у себя в заметке ещё дипломатично всё описал. Потому как на самом деле эта росГосПочта — достаточно рядовая халтура за распил, и только для почтальона Печкина годится. Ну и чиновников уровня простоквашинской сельской администрации с их уровнем ответственности и рисков от вероятной утечки.

Оставить мнение