Исследователь безопасности Карим Валиев опубликовал на своей странице в Facebook сообщение о наличии множества уязвимостей в почтовом online-сервисе МойОфис. На официальной странице сайта расположено исследование, приводящее ужасающие факты утечек данных и небезопасного использования бесплатных отечественных или зарубежных сервисов, а также серверных решений. Единственным правильным вариантом является использовать МойОфис. Конечно же, обмениваться конфиденциальными данными через облачные и бесплатные почтовые сервисы не стоит, однако МойОфис не далеко ушел от не рекомендуемых решений, поскольку является облачной платформой.
По словам исследователя, сервис МойОфис содержит множественные XSS и CSRF уязвимости, обнаруженные в первые 10 минут тестирования сайта. “В прямом смысле: ты думаешь, какая еще “типичная” уязвимость может найтись в веб-почте, проверяешь, и либо эта уязвимость там есть, либо этот функционал еще не реализован.:) Например, нет XSS в превью почтовых аттачей. Потому что превью почтовых аттачей пока не сделали”, – пишет исследователь.
Получается, на данный момент МойОфис по уровню защищенности находится далеко позади Mail.Ru, Яндекса и других публичных почтовых сервисов, раскритикованных в этом исследовании. Пока трудно рекомендовать этот продукт к использованию тем, кто заботится о своей безопасности, и тем более, госструктурам.
С одной стороны, абсолютно безопасных систем не бывает, везде есть уязвимости, особенно в молодых сервисах, которые только начинают развиваться. МойОфис явно работает над улучшением своей защищенности: недавно появилась новость о том, что они заказали аудит у DSec. Если бы не одно но: когда ваш продукт на таком уровне, несколько преждевременно пиариться на безопасности, называя “дырявыми” конкурентов”, – пишет исследователь. Подобные уязвимости может обнаружить даже школьник без особой подготовки. Почему производитель не осуществил элементарное тестирование продукта перед открытием доступа клиентам остается загадкой. И если online-сервис МойОфис успешно прошел еще и испытания на проникновение, то это “пИчалька” для отечественной ИБ индустрии. (МойОфис/NovostIT)