Открытка компании: Почему CS-Cart не сообщает пользователям об уязвимости своих форумов?

Здравствуйте. 11 августа антивирусная компания Eset опубликовала расследование об использовании уязвимости Firefox, указав при этом в списке замеченных атакованных сайтов форум компании CS-Cart.

17 августа я решил написать в CS-Cart по поводу того, знают ли они об этом и собираются ли информировать клиентов о возможной компрометации данных посетителей форума (там пересылались пароли FTP-клиентов, мессенджеров и ещё куча чего, в статье по ссылке выше подробное описание).

В письме от 18 августа сотрудник компании пообещал «выложить» информацию об уязвимости.

2 сентября я снова задал вопрос поддержке CS-Cart об этом случае, в ответ поддержка прислала ссылку на тему в английском разделе их форума в подразделе «Security».

Оставляя за скобками специфический (мягко говоря) способ информирования англоязычных пользователей об угрозе, я спросил — а российских пользователей решено не информировать? Ответ сотрудника поддержки — «эта вся информация, которая у меня есть по данному вопросу».

Хочется поспособствовать сохранению какого-то минимального уровня этики в таких ситуациях. Searchengines, которые тоже в этом списке жертв из статьи, тоже не делали никаких публичных заявлений, насколько мне известно. У них на форуме полтора человека это обсудили и всё.

Добавить 2 комментария

  • Ответить

    Александр, здравствуйте.

    Меня зовут Илья Макаров, я технический директор CS-Cart. Я тот, кто пообещал опубликовать информацию об уязвимости.

    1) С информированием об уязвимости на форуме и необходимых мерах действительно налажали, исправим. Рассылку сделаем в ближайшие пару дней.

    2) Ответ техподдержки скорее следствие первого пункта, но разъяснительную беседу в любом случае проведем.

    Спасибо за волшебный пендель! Мы будем делать все, чтобы стать лучше и не допускать такого в дальнейшем.