Mail.ru и «Мой офис» обменялись претензиями из-за уязвимости почтовых клиентов

Ни один из клиентов не является по-настоящему защищенным, утверждают они
Mail.ru и «Мой офис» обменялись претензиями по поводу безопасности почтовых клиентов
Mail.ru и «Мой офис» обменялись претензиями по поводу безопасности почтовых клиентов / Е. Разумный / Ведомости

В пятницу руководитель группы информационной безопасности почты Mail.Ru Карим Валиев рассказал на странице в Facebook, что провел тестирование почтового клиента «Новых облачных технологий» «для чиновников» - «Мой офис», и пришел к выводу, что он содержит уязвимости. Валиев утверждает, что на поиск уязвимостей у него ушло всего 10 минут. При этом, отмечает специалист, он потратил около двух недель на то, чтобы получить промокод для регистрации в почтовом сервисе. Самой распространенной проблемой, отмечает Валиев, является уязвимость типа XSS. Она позволяет хакеру получить доступ к аккаунту жертвы, например, если жертва перейдет по специальной вредоносной ссылке. Такая ссылка может быть включена в тело письма.

Валиев подчеркивает, что на тестирование его сподвигло ранее опубликованное исследование «Новых облачных технологий», в котором те критикуют уровень защищенности почтовых систем типа Mail.ru, «Яндекс» и других популярных сервисов. По данным этого исследования (есть у «Ведомостей»), доля использующих публичные почтовые сервисы госорганов составляет 78%. Авторы документа отметили, что более 60% федеральных органов власти и силовых структур используют такие сервисы для служебной переписки, что грозит поставить под угрозу кибербезопасность госорганизаций, а также привести к утечке конфиденциальной информации. Только 7% ведомств пользуются специальными ведомственными почтовыми сервисами, отмечают «Новые облачные технологии», их они считают более защищенными.

«Получается, на данный момент «Мой офис» по уровню защищенности находится далеко позади Mail.ru, «Яндекса» и других публичных почтовых сервисов, раскритикованных в этом исследовании», - считает Валиев. Он отмечает, что «пока трудно рекомендовать этот продукт к использованию тем, кто заботится о своей безопасности, и тем более госструктурам».

Представитель «Моего офиса» Федор Скуратов в ответ на это на своей странице в Facebook заявил, что «Карим тестировал февральскую версию «Мой офис почта». Он также отметил, что скоро у компании будет новый релиз, в котором заранее все учли найденные коллегами уязвимости. Также Скуратов подчеркивает, что ошибки и баги бывают у всех сервисов.

Уязвимости, которые нашла Mail.Ru Group, компания Digital Security (проводит заказной анализ уязвимостей компьютерных систем) находила в тестовом продукте «Новых облачных технологий» еще осенью прошлого года, говорит директор Digital Security Илья Медведовский. По его словам, в нынешней версии продукта «Новые облачные технологии» уже устранили эту проблему.