Mail.ru Group раскритиковали почту «Моего Офиса», который ранее раскритиковал почту Mail.ru

Развитие событий: «Взлома не было — и это важно», — глава «Новых облачных технологий» развивает конфликт с Mail.ru Group (5 июля)

Сотрудник Mail.ru Group раскритиковал почту «Моего Офиса», который ранее раскритиковал почту Mail.ru.

Недавно ребята из МойОфис выпустили резонансное исследование безопасности почтовых сервисов, используемых госучреждениями в России: rosgospochta.ru/
Выводы были вкратце таковы:
1) Не используйте для рабочей переписки Mail.Ru, Яндекс и Gmail, потому что ящики на них подвержены «высокой вероятности взлома» (это практически цитата);
2) Используйте Почту МойОфис, потому что она «защищенная» и сертифицированная (да, так и написано).
Естественно, нам стало интересно, что это за «защищенная почта».
«Защищенность» проявилась сразу: зарегистрироваться на сайте просто так нельзя.
Мне пришлось 2 недели переписываться и созваниваться с интеграторами, чтобы наконец получить промокод для регистрации.
Запасшись пиццей, я уже было приготовился провести ночь в тяжелой схватке с защищенной российской почтой, но не тут-то было: первая XSS в теле письма нашлась за 10 минут.
Дальше — больше. Еще одна XSS, CSRF, опять XSS.
То есть, в прямом смысле: ты думаешь, какая еще «типичная» уязвимость может найтись в веб-почте, проверяешь, и либо эта уязвимость там есть, либо этот функционал еще не реализован :) Например, нет XSS в превью почтовых аттачей. Потому что превью почтовых аттачей пока не сделали.
Для тех, кто не глубоко погружен в тему, XSS — это клиентсайд-уязвимость, которая позволяет хакеру получить доступ к аккаунту жертвы, например, если жертва перейдет по специальной вредоносной ссылке. От XSS в теле письма не защитит ни установка продукта на своих серверах, ни запрет на доступ к сервису снаружи.
Детали уязвимостей я, естественно, пока раскрывать не буду (выслал коллегам из МойОфис подробное описание на contact@ncloudtech.ru).
Получается, на данный момент МойОфис по уровню защищенности находится далеко позади Mail.Ru, Яндекса и других публичных почтовых сервисов, раскритикованных в этом исследовании. Пока трудно рекомендовать этот продукт к использованию тем, кто заботится о своей безопасности, и тем более, госструктурам.
С одной стороны, абсолютно безопасных систем не бывает, везде есть уязвимости, особенно в молодых сервисах, которые только начинают развиваться. МойОфис явно работает над улучшением своей защищенности: недавно появилась новость о том, что они заказали аудит у DSec. Если бы не одно но: когда ваш продукт на таком уровне, несколько преждевременно пиариться на безопасности, называя «дырявыми» конкурентов.
И да, если уж сравнивать уровень безопасности, давайте делать это честно: открывайте доступ для всех желающих, запускайте Bug Bounty программу, ищите и репортите баги у других сервисов. В конце концов, честная конкуренция в этой сфере полезна для всех :)

Posted by Karim Valiev on Friday, 1 July 2016

Добавить 8 комментариев

  • Ответить
    Роман PROJS

    Так! «УБИЙЦУ» всех почтовых серверов мы уже видим ;) С нетерпением ждем-с лицезреть «УБИЙЦУ» микрософта офиса. Там дела скорее всего еще хуже чем с почтой :) Гюльчатай, личико-то открой ;) Во всяком случае, то что лежит на торенте и в онлайне не тянет даже на позорище :)

  • Ответить

    Хорошо когда лупить и клизьмовать «конкурента» за воображаемые недостатки выставляют не исследователя безопасности, а пиарщика. И отвечает ему — пиарщик. При том, что в этой сфере уже лет 20 как, стали стандартом прямые обращения известных безопасников к народу, к конкуренту или к специалистам. Так держать!

    Примечание: бизнесовые разновидности почты есть и у Mail.ru (под руководством экс яндексойда) и у Яндекса, да и у «всех» они есть https://roem.ru/tag/email-hosting/ — раз бизнесовые версии существуют — не очень понятны ходы Фёдора (и непонятно почему Георгий не знает о бизнесовых продуктах своего ходинга).

  • Ответить

    Сергей, Иван, безотносительно прочего, хочу отметить, что я не работаю в МойОфис .)
    Я их евангелист и, к слову, на добровольных началах.

    Работаю я в собственном проекте, Combot и мы занимаемся маркетингом и аналитикой в мессенджерах .)

  • Ответить

    Фёдор, тогда логичнее называть должность «Ванга». Для неё характерно знамение молота: «покайтесь, суки (то есть чиновники и обычные грешники из черни, пользователи публичных почтовых служб), скоро конец света, конец Mail.ru!»

    «Евангелисту» логичнее заниматься прозелитизмом.

  • Ответить

    Сергей, нет, не сижу .) Приезжаю раз пару недель на пару часов. Деньги не получаю, все на чистой дружбе и хорошем отношении к команде и продукту.

    Так что только разве что в плане публичной активности .) Но это отдельный разговор и он связан с тем, как относятся «бесплатные евангелисты» и core community к проектам вообще и коммерческим проектам в частности.

    Иван, твоя правда, мне вообще не стоило лезть в тему ИБ, потому что я хорошо разбираюсь в коллаборации, совместной работе и работе с сообществами, но никак не в ИБ: D

  • Ответить

    Ну конечно. Допустим, то что сделали МойОфис и правда можно считать «наездом». Но наезд абсолютно справедливый — никто не будет спорить, что популярные почтовики не очень подходят для корпоративной или государственной переписки. Встерпенулись и полезли в дешевые «взломы» только мейлру, почему-то. Рамблер да гугл молчат. Молчат потому, что не планируют отжать у МоегоОфиса кусок рынка. Мейлру же не так давно собиралось заняться разработкой мессенджера для чиновников, вот и сидят теперь постят тупые картинки.