Сотрудник Mail.ru Group раскритиковал почту «Моего Офиса», который ранее раскритиковал почту Mail.ru.
Недавно ребята из МойОфис выпустили резонансное исследование безопасности почтовых сервисов, используемых госучреждениями в России: rosgospochta.ru/
Выводы были вкратце таковы:
1) Не используйте для рабочей переписки Mail.Ru, Яндекс и Gmail, потому что ящики на них подвержены «высокой вероятности взлома» (это практически цитата);
2) Используйте Почту МойОфис, потому что она «защищенная» и сертифицированная (да, так и написано).
Естественно, нам стало интересно, что это за «защищенная почта».
«Защищенность» проявилась сразу: зарегистрироваться на сайте просто так нельзя.
Мне пришлось 2 недели переписываться и созваниваться с интеграторами, чтобы наконец получить промокод для регистрации.
Запасшись пиццей, я уже было приготовился провести ночь в тяжелой схватке с защищенной российской почтой, но не тут-то было: первая XSS в теле письма нашлась за 10 минут.
Дальше — больше. Еще одна XSS, CSRF, опять XSS.
То есть, в прямом смысле: ты думаешь, какая еще «типичная» уязвимость может найтись в веб-почте, проверяешь, и либо эта уязвимость там есть, либо этот функционал еще не реализован :) Например, нет XSS в превью почтовых аттачей. Потому что превью почтовых аттачей пока не сделали.
Для тех, кто не глубоко погружен в тему, XSS — это клиентсайд-уязвимость, которая позволяет хакеру получить доступ к аккаунту жертвы, например, если жертва перейдет по специальной вредоносной ссылке. От XSS в теле письма не защитит ни установка продукта на своих серверах, ни запрет на доступ к сервису снаружи.
Детали уязвимостей я, естественно, пока раскрывать не буду (выслал коллегам из МойОфис подробное описание на contact@ncloudtech.ru).
Получается, на данный момент МойОфис по уровню защищенности находится далеко позади Mail.Ru, Яндекса и других публичных почтовых сервисов, раскритикованных в этом исследовании. Пока трудно рекомендовать этот продукт к использованию тем, кто заботится о своей безопасности, и тем более, госструктурам.
С одной стороны, абсолютно безопасных систем не бывает, везде есть уязвимости, особенно в молодых сервисах, которые только начинают развиваться. МойОфис явно работает над улучшением своей защищенности: недавно появилась новость о том, что они заказали аудит у DSec. Если бы не одно но: когда ваш продукт на таком уровне, несколько преждевременно пиариться на безопасности, называя «дырявыми» конкурентов.
И да, если уж сравнивать уровень безопасности, давайте делать это честно: открывайте доступ для всех желающих, запускайте Bug Bounty программу, ищите и репортите баги у других сервисов. В конце концов, честная конкуренция в этой сфере полезна для всех :)Posted by Karim Valiev on Friday, 1 July 2016
