Сотрудник компании SearchInform, занимающейся информационной безопасностью, обнаружил интересную особенность работы почты Mail.ru. Для формирования предпросмотра документа, приложенного к письму, он отсылается на принадлежащие корпорации Microsoft IP-адреса. В пользовательском соглашении упоминается, что "некоторая информация может быть передана партнерам Mail.Ru". При этом предпросмотр в cloud.mail.ru обходится без отправки в Редмонд.
Компания уже как минимум 5 лет сотрудничает с Microsoft в области реализации работы с документами в облаке. "Офисные" документы Dropbox также обрабатываются на серверах Microsoft, то же самое происходит при их пересылке во ВКонтакте.
На мой взгляд проблема в том, что «А мужики-то не знают!». Многие государственные учреждения, вузы и другие организации имеют официальные ящики на mail.ru. И пользуются ими, как рабочими, пересылая интересную и не очень информацию. При этом, как видите, могут непреднамеренно отправить копию в Штаты.
Этим постом хочется предупредить их о подвохе. Ведь могут пострадать невиновные сотрудники, которых ретивые, но не очень дотошные безопасники поспешат обвинить в сливе данных.
Добавить 8 комментариев
Вот это открытие, я считаю нужно на нобелевку номинировать.
Коменты нахабре как часто бывает намного интересней самой статьи, там есть например вот такая замечательная ссылка: https://www.xeim.ru/2020/02/mailru-group.html На практически шесть сотен партнеров маил.ру кому они могут все ваши данные слить. И да из них ни одного отечественного.
>> При этом, как видите, могут непреднамеренно отправить копию в Штаты
https://www.youtube.com/watch?v=MTzf3Y_-8qQ
Т.е. Яндекс так не делает? А сам накупил полноценных лицензий MS и на своих серверах обрабатывает документы «Офиса MS» ?
Превьюшки (эскизы) аттачей на странице чтения письма рендерятся на серверах Mail.ru в Москве.
То что авторы оригинальной статьи называют «превьюшками» — это если кликнуть на сам аттач, то документ откроется в Microsoft Office Online. См. скриншот: https://i.imgur.com/u6KL8yD.png
В cloud.mail.ru (в b2c варианте) используется тот же самый просмотрщик Microsoft Office Online.
Для клиентов, желающих максимально изолировать свои данные от любых внешних сервисов, есть on-premise решение: https://biz.mail.ru/mail/onpremise/
Три года назад высший судебный орган России, Конституционный суд разъяснил, что даже переписка сами с собой через mail.ru – это раскрытие информации третьим лицам. Де юре. Это закон.
Хотя понятно, что майоры, скорее всего, не читают переписку де факто. Не говоря уже о настоящих посторонних «третьих лицах», которым недоступно вообще ничего и никак. Тем не менее, по суду: если работодатель запретил раскрывать что-либо, то даже в виде черновика хранить служебную тайну в mail ru нельзя. Это так и без фоновой отправки файлов .docx на сервер Майкрософт. Нельзя и всё. Воспользовался mail — значит сознательно допустил утечку.
P. S. Чисто по ведению. Неправильно валить всех собак исключительно на Mail. В 2015-м Microsoft одновременно поставил Office Online и Mail.Ru и Яндексу.
Вот-вот. Для хранения текстовой инженерной информации у России нет решения. Даже эверноут к пачикову имеет номинальное отношение — он полносттю штатовский. Хотя задача несложная. Есть разные мойофисы, но, вы будете смеяться — у них нет индивидуальных лицензий. Только командные, на юр. лица.
chico, добрый день! На текущий момент наша компания работает в бизнес-сегменте. Несмотря на это, уже сейчас вы можете скачать и пользоваться нашими бесплатными мобильными приложениями МойОфис Документы и МойОфис Почта в AppStore или Google Play. Кроме того, на нашем сайте(https://myoffice.ru/trial-subscription/) в ближайшее время станут доступны для тестирования полнофункциональные демо-версии наших приложений. При этом продажи по-прежнему будут ориентированы на бизнес-аудиторию. Выход в B2C сегмент мы анонсируем отдельно.