«Взлома не было — и это важно», — глава «Новых облачных технологий» развивает конфликт с Mail.ru Group

Развитие событий: «МойОфис» оказался единственным импортозамещённым софтом для почты (11 июля)

Если один из крупнейших игроков ИТ-отрасли публично ищет уязвимости в продукте нового игрока, это означает, что нового игрока воспринимают всерьез.

Поскольку история с найденными в почте МойОфис «уязвимостями» продолжает поражать воображение общественности, считаю нужным дать пояснения.

Mail.ru Group раскритиковали почту «Моего Офиса», который ранее раскритиковал почту Mail.ru

В 2013 году, начиная разрабатывать платформу МойОфис, мы взяли за основу следующую идею: офисные продукты должны находиться в облаке, и это облако должно быть частным и не принадлежать сторонним крупным корпорациям. Крупная компания или органы власти обладают ресурсами, чтобы управлять облаком сами, им не обязательно зависеть от поставщика услуги. Частные пользователи и небольшие компании могут использовать сервис, предоставляемый специализированными провайдерами облачных услуг. Сейчас в мире офисных приложений лидируют Google и Microsoft. Поскольку эти компании многопрофильные, у любого бизнеса рано или поздно может возникнуть конфликт интересов с такой компанией. Да, не только ИТ-бизнеса, но и финансового, или медийного, или…

Полтора месяца назад мы выпустили исследование почтовой инфраструктуры в государственных учреждениях России, проведенное нами совместно с НП «Информационная культура» Ивана Бегтина. Пользуясь открытыми данными и прозрачной методикой, мы показали — 78% госучреждений пользуются бесплатной почтой, при этом, больше половины из них используют для служебной переписки и коммуникаций личные ящики на публичном почтовом сервисе mail.ru. Иван и раньше обращал внимание общественности и государства на данную особенность, мы решили исследовать тему шире.

Комментируя полученные цифры, мы привели популярное мнение о рисках, связанных с бесплатной почтой в целом, а также привели как пример ряд случаев, когда злоумышленники, пользуясь социальной инженерией могут получить доступ к любому аккаунту. Только в случае с личной почтой это может быть просто крайне неприятным событием, а вот в случае со служебной перепиской для владельца публичного ящика могут наступить серьезные юридические последствия.

В рамках исследования мы не ставили себе целью исследовать какие-либо публичные сервисы на безопасность. В мире ИТ разное отношение к исследованиям конкурентов, например компания Google исследует все — начиная от ядра Windows до других поисковых систем и почтовых сервисов. Находя уязвимости она извещает владельца сервиса и публикует их через 90 дней.

Отчет вышел 26 мая, и у коллег из Mail.ru была возможность связаться с нами, предоставить свои комментарии или же попросить внести обоснованные изменения.

В пятницу, 1 июля, сотрудник Mail.ru опубликовал на своей странице в Facebook сообщение о том, что, ознакомившись с результатами исследования, проведенного компанией «Новые облачные технологии» вместе с НП «Информационная культура», решил проверить защищенность «МойОфис Почта» и нашел в нем некие уязвимости.

Уведомив нас о найденных багах, уже через час эксперт Mail.ru опубликовал информацию на своей странице в Facebook. За короткое время это сообщение было растиражировано другими сотрудниками и официальным пабликом Mail.ru, который также разместил картинку про то, как по мнению компании Mail.ru в МойОфис принимают решения относительно безопасности.

Всё, что надо знать про «безопасную почту»: vc.ru/n/myoffice-mail

Posted by Mail.Ru Group on Friday, 1 July 2016

Публикация привлекла внимание экспертов IT-отрасли и журналистов, после чего в СМИ стали появляться «креативные» заголовки типа: «Почту для чиновников взломали за 10 минут».

Что произошло на самом деле? Взлома не было — и это важно, так как следует отличать риски теоретические от рисков уже реализованных. Были найдены уязвимости.

Более того, коллега из Mail.ru искал уязвимости на тестовом стенде, используемом нашими партнерами для демонстрации клиентам и экспертам функциональных возможностей продукта.

Сервис, который тестировал Карим недоступен публике, не используется государством — именно потому, что является тестовым. Это внутренняя версия, куда мы по инвайтам пускаем сторонних экспертов и некоторых заказчиков, чтобы тестировать функциональные особенности интерфейса.

Вопросам информационной безопасности мы уделяем крайне пристальное внимание. Хотелось бы отметить, что мы софтверная компания, которая разрабатывает сложные тиражируемые решения.

К работе над продуктами у нас привлечены квалифицированные команды разработчиков, которые используют лучшие практики в части обеспечения защиты, но мы так же осознаем тот факт, что нельзя одновременно быть лучшими во всем, дополнительно привлекаем признанных экспертов рынка для проведения независимого аудита защищенности нашего продукта. Работа Digital Security по данному направлению тесно интегрирована в процесс разработки, практически на всех уровнях, что позволяет выстроить процесс безопасной разработки со своевременным выявлением самых актуальных и критичных угроз информационной безопасности. Профессионалы меня поймут, насколько это тяжело — сделать тиражируемый безопасный продукт, который постоянно обновляется, поддерживается и проходит сертификации у наших регуляторов.

Тем не менее хотелось бы поблагодарить коллег из Mail.ru, в глобальном смысле, сделавшим нам комплимент, сравнивая наш почтовый сервис с собственным флагманским продуктом. Mail.ru занимается почтой уже много лет, а МойОфис Почта только выходит на рынок. Хотя, если Mail.ru когда-нибудь сделает тиражируемое сертифицированное решение почтового клиент/сервера Enterprise уровня, будет крайне интересно провести независимый сравнительный анализ как функциональности, так и безопасности. Тем более, что сообщения о подобной инициативе уже были.

При этом, не может не беспокоить простой вопрос: Mail.ru — это крупнейшая интернет-компания Европы. Что помешает этой компании, ее менеджерам, повторить то же самое, если они будут недовольны тем, что вы говорите? Вопрос, интересный мне в том числе как клиенту: я использую (правда, в тестовых целях) сервис «Mail.ru для бизнеса».

Исходя из всего сказанного выше, остается только поблагодарить Mail.ru за подтверждение нашей бизнес-концепции.

Лучшие комментарии

  • Контекст комментария

    Иван Бегтин АНО "Информационная Культура"

    Честно говоря я отпуске и буду в нём до 10-го числа, поэтому реагировать на все инфоповоды старался по минимум. Но, поскольку меня тут регулярно упоминают, то вставлю и свои 5 копеек.

    Начну с того что проблему с тем что у нас большая часть публичной государственной коммуникативной и ИТ инфраструктуры является не формальной, сложившейся де-факто, я писал неоднократно последние лет 5 не меньше. Ещё с момента появления проекта Госсеть когда мы выявляли госсайты хостящиеся на всяких экзотических ресурсов и домены органов власти зарегистрированных на физ лиц, и продолжая исследованием email адресов. Каждый раз исследование отнимало множество ресурсов, а ни Минсвязи, ни иные госорганы, полной и реальной картины, то ли не хотели иметь, то ли не хотели тратить на это средства.

    Поэтому я, вначале, хочу сказать спасибо коллегам из «Моего Офиса» за их активную позицию в том чтобы этот отчёт появился на свет и в том чтобы была возможность привлечь аналитиков и ресурсы для проведение этого анализа, да, с методподдержкой Инфокультуры.

    И давайте, начнём с самого начала. Зачем вообще нужно чтобы любая компания использовала сервис-как-услугу для своих сотрудников?

    Я перечислю лишь некоторые:
    1. Договор с юридическим лицом с соблюдением базовых гарантий доступности.
    2. Возможности сохранения доступа к почте сотрудников в случае их ухода.
    3. Возможность устанавливать собственные политики безопасности.
    4. Возможность доступа к email адресу сотрудника при необходимости и без запроса у него пароля.
    5. Возможность соблюдений требований по обязательной архивации переписки.

    и ещё многое другое что многие могут расписать и без меня.
    Не случайно и у Google есть почта для домена и у Яндекса есть аналогичный сервис да и у Mail.ru есть сервис для бизнеса, не так ли?

    Предположу что сами коллеги из Google, Mail.ru и Яндекса лучше меня сами расскажут про все полезные свойства своих продуктов, а появление их — это не дань моде, а стремление извлечь прибыль из реальных потребностей бизнеса.

    Так чем же отличается государственное учреждение от бизнеса? Там не странно ли что юридическое лицо для своей официальной переписки использует адреса бесплатной электронной почты на условиях физического лица. И не имеет гарантий в случае каких-либо проблем или сбоев.

    Весь ли бизнес использует сервисы для доменов или свои email сервера? Врядли. Но быть может дело в том что бизнес может жить как ему заблагорассудится, а деятельность госучреждений в России регулируется и не последним регулятором выступаем Минкомсвязи России.

    Именно поэтому я нахожу реакцию коллег из Mail.ru, как минимум, необычной. Многоуважаемой Анне (Артамоновой) почему-то не пришло в голову представить свой сервис для бизнеса как альтернативу бесплатным адресам. Рассмотреть этот отчёт как возможность предложить что-либо госучреждениям, а как наезд на Mail.ru.

    Очень странный посыл. Государственное регулирование в этой области неизбежно, но конечно, можно как телекомоператоры «ждать у моря Яровой».

Добавить 17 комментариев

  • Ответить
    Иван Бегтин АНО "Информационная Культура"

    Честно говоря я отпуске и буду в нём до 10-го числа, поэтому реагировать на все инфоповоды старался по минимум. Но, поскольку меня тут регулярно упоминают, то вставлю и свои 5 копеек.

    Начну с того что проблему с тем что у нас большая часть публичной государственной коммуникативной и ИТ инфраструктуры является не формальной, сложившейся де-факто, я писал неоднократно последние лет 5 не меньше. Ещё с момента появления проекта Госсеть когда мы выявляли госсайты хостящиеся на всяких экзотических ресурсов и домены органов власти зарегистрированных на физ лиц, и продолжая исследованием email адресов. Каждый раз исследование отнимало множество ресурсов, а ни Минсвязи, ни иные госорганы, полной и реальной картины, то ли не хотели иметь, то ли не хотели тратить на это средства.

    Поэтому я, вначале, хочу сказать спасибо коллегам из «Моего Офиса» за их активную позицию в том чтобы этот отчёт появился на свет и в том чтобы была возможность привлечь аналитиков и ресурсы для проведение этого анализа, да, с методподдержкой Инфокультуры.

    И давайте, начнём с самого начала. Зачем вообще нужно чтобы любая компания использовала сервис-как-услугу для своих сотрудников?

    Я перечислю лишь некоторые:
    1. Договор с юридическим лицом с соблюдением базовых гарантий доступности.
    2. Возможности сохранения доступа к почте сотрудников в случае их ухода.
    3. Возможность устанавливать собственные политики безопасности.
    4. Возможность доступа к email адресу сотрудника при необходимости и без запроса у него пароля.
    5. Возможность соблюдений требований по обязательной архивации переписки.

    и ещё многое другое что многие могут расписать и без меня.
    Не случайно и у Google есть почта для домена и у Яндекса есть аналогичный сервис да и у Mail.ru есть сервис для бизнеса, не так ли?

    Предположу что сами коллеги из Google, Mail.ru и Яндекса лучше меня сами расскажут про все полезные свойства своих продуктов, а появление их — это не дань моде, а стремление извлечь прибыль из реальных потребностей бизнеса.

    Так чем же отличается государственное учреждение от бизнеса? Там не странно ли что юридическое лицо для своей официальной переписки использует адреса бесплатной электронной почты на условиях физического лица. И не имеет гарантий в случае каких-либо проблем или сбоев.

    Весь ли бизнес использует сервисы для доменов или свои email сервера? Врядли. Но быть может дело в том что бизнес может жить как ему заблагорассудится, а деятельность госучреждений в России регулируется и не последним регулятором выступаем Минкомсвязи России.

    Именно поэтому я нахожу реакцию коллег из Mail.ru, как минимум, необычной. Многоуважаемой Анне (Артамоновой) почему-то не пришло в голову представить свой сервис для бизнеса как альтернативу бесплатным адресам. Рассмотреть этот отчёт как возможность предложить что-либо госучреждениям, а как наезд на Mail.ru.

    Очень странный посыл. Государственное регулирование в этой области неизбежно, но конечно, можно как телекомоператоры «ждать у моря Яровой».

  • Ответить
    Альтер Эго

    Наш маленький отдел просто не в силах отказать себе в удовольствии потушить пожар негодования со стороны коллег из «МойОфис», начавшийся с их же «расследования» и продолженный после найденных у них одним из наших ребят уязвимостей. Прекрасной Лилиане отправляем цветы, уважаемым господам — презенты. https://roem.ru/vzlom-kotorogo-ne-bylo/

  • Ответить

    что интересно — не знал о двух вещах до выступления мойофиса:

    1. что у мэйл ру есть почта для бизнеса
    2. что почта у мойофис имеет уязвимости

    дальше можно залечивать про миллион ньюансов и графоманить из двух стволов, но из памяти не сотрется ни первое ни второе.

  • Ответить

    Автор статьи лукавит. НЕТ ни какого нового игрока. НЕТ еще раз ни какого сравнения. Mail.ru Group это — 100 000 000 активных аккаунтов, 26.8 — пользователей поиска, 11 000 000 пользователей в icq, 175 000 000 установок. Мой офис — это просто неуловимый ДЖО, который вот уже третий год пытается что-то сделать, а по факту только дырка на штанах.

  • Ответить

    меня особенно доставил клоун с фейсбука, напевавший в оправдание чтото вроде:
    — нет, я не работаю в моемофисе, не получаю там зарплату, рекламирую их на добровольной основе
    — нет, я нихрена не знаю о моемофисе
    — нет, мойофис лучшевсех

  • Ответить
    Владимир Мяу и компания

    > идею: офисные продукты должны находиться в облаке,
    > и это облако должно быть частным и не принадлежать
    > сторонним крупным корпорациям

    А поясните, кто знает, что такое «частное облако»? Частное — это значит, принадлежащее той же компании, которая его использует, или, наоборот, другой? Если той же, то в чем смысл облака, чем это отличается от обычного сервака? А если другой, то в чем отличие от того, как если бы оно принадлежало «сторонним крупным корпорациям»? По мне, так крупняку-то доверие чуть-чуть побольше, что они проработают и 5 и 10 и 20 лет. А не очередной какой-нибудь океан-рокет-или-кто-он-там-банк, который в любой момент сольется?

  • Ответить

    В первую очередь у меня возник вопрос, почему возмутились только мейлру, хотя в исследовании моегоофиса говорилось и про гугл и про рамблер. Начал искать ответ — оказалось, что мейлру сами хотят заказ на создание почты для чиновников. Грустно, что такие ит-гиганты стараются выехать не на качестве своего собственного продукта, а за счет грязной пиар-борьбы.

  • Ответить

    Ага, энергомаш производит 10 двигателей в год, а хёндай 300000, вот только энергомаш ракеты в космос, а хёндай планктон в офис. Еще какие будут числительные сравнения? МойОфис честно пилят почту для компаний, закрытую, с размещением серверов на территории заказчика. Что дает просто МАссу преимуществ перед публичным мейлом. Абсолютно логично выглядит «наезд» моего офиса на мейл, рамблер и т. д. А вот мейлру насвинячили, это да.

  • Ответить

    Ну вы и сравнили. Хёндай хотя бы регулярно пытается какие-то новые движки мухлевать, как бы скептически к ним кто не относился. А вот когда новый движок последний раз родил Энергомаш — большой вопрос. И да, производство и разработку не путаем :) в софте производства нет, есть только разработка.

  • Ответить

    Частично согласна, но я о другом — о том, что цели продуктов разные, рынок разный. В нормальных ситуациях если компания считает необоснованным отзыв о ее продукте — она пишет претензию, предоставляет доказательства и требует опровержения. Мейлру, после того как его назвали решетом, никаких опровержений не запросил, а тупо поручил пиарщикам вывести в топ новость про «взлом». Не считаю наезд на конкурента плохим делом, если он полностью обоснован. У моегоофиса обоснован, у мейла нет. Вот и все;

  • Ответить

    «после того, как гопота плюнула ему в лицо и попыталась отнять кошелек, он почему то не отдал им сигареты, а начистил честным мальчикам и девочкам морду лица.» © горе пиарщица

  • Ответить

    Он обоснован, чёрт. У проекта есть дыры в безопасности. Они об этом знают (с февраля, не ошибаюсь?) но закрывают в июле плановым релизом. Это не нормально нифига, апдейты безопасности должны выходить по мере обнаружения дыр. Жаль, что Mail.ru нигде явно об этом не написали, но вскрылось-то по итогам именно это. Данных о том, что у реальных пользователей почта стояла более старая, в которой этих дыр небыло я не увидел.