«Дыры» в Mail.ru заставляют закрыть шантажом

Отчаявшись ждать, пока Mail.ru закроет критические уязвимости, специалист, обнаруживший проблемы, опубликовал их описания и скрипты. По его словам, если Mail.ru исправится, дальнейший список «дыр» опубликован не будет. Эксперты по безопасности говорят, что наплевательское отношение к веб-безопасности — обычное явление в российских компаниях.

http://www.cnews.ru/news/top/index.shtml?2010/09/13/408404

Добавить 16 комментариев

  • Ответить
    Альтер Эго

    Ужас, нас ломанули … боже как можно с 16 августа, два заместителя … совсем ах. ах. как же они могли … ад. всё пропало … ежедневник, мой любимый кто то стёр все мои записи на пять лет вперёд, я планировал встречи, ах кто то постоянно шлёт письма всем от моего имени и деньги я не могу зайти на деньги мэил ру. апокалипто… срочно сменю пароль 123 на 321 (более надёжный) любимое блюдо в секретном вопросе с борща, на кашу. Уфф теперь полегчало можно спокойно смотреть порнухо …

  • Ответить
    Альтер Эго

    в кеше яндекса все осталось. плюс rss аггрегаторы всякие левые всосали все коды которые были убраны. с целями образовательными можете ознакомиться например по адресу http://tuti.tam.ru/2010/09/13/информационная-безопасность-малень/ коды не воробей, вылетят — не зачистишь ;)

  • Ответить

    Мэил.Ру реально суперглючный сервис, на исправление проблем которого похоже администрация забила, вообще бы не использовал, если бы большая часть общественной деятельности не была бы связана с этой сайтом, из-за того, что это популярнейшая социальная сеть в Казахстане и всё политическая активность в казахстанском интернете приходится на неё. Вот, к примеру, не работает одна из функции, пишу в суппорт, мне оттуда приходит ответ, дескать попробуйте другой браузер (причем рекомендуют среди других Фаирфокс, с которым Маил.Ру в основном и не дружит), я отвечаю, я и сам web-дизайнер, про проблему со скриптами на вашем сайте знаю, и не стал бы про такую фигню писать, сам бы справился, там проблема не у клиента, а у сервера — номер ошибки, в конце приписал, надеюсь, что разговариваю с человеком, а не с ботом, потому что в другом модерируемом мною сообществе такая проблема не исправляется уже в течение наверное года, как я про это написал в суппорт, но тогда ответа не было, больше мне писем из суппорта не приходило, а функцию так и не подчинили. Ну про то, что к почте безответственно подходят, наверно и говорить не стоит, сколько уж волн спама там прошло, а SMS-валидацию так и не вводят, про непонятное блокирование аккаунтов тоже правда, очень много знакомых столкнулись с такой проблемой, про то, что со спамом ничего не делают не скажу, но по два-три бота в день мне пишут, их быстро удаляют, но вот в М-агенте со спамом просто беда, из одних и тех же аккаунтов каждый день на протяжение нескольких месяцев сыпется спам, про то, что наверное уже все знакомые были взломаны и от них приходил спам, наверно, даже говорить не стоит, все, кто пользуется Маил.Ру это знают, но это, конечно, в первую очередь проблема пользователей, которые попадаются на фишинг, но то, что он процветает в Маил.Ру это факт.

  • Ответить
    Альтер Эго

    Очень странно, что Мыло так относится к безопасности. Признаться, был удивлён, судя по всему команда «уже не та что в 2005». Что тут сказать, используйте почту Яндекса и Рамблера, эти почтовики бережно и аккуратно следят за чистоплотностью. :)

  • Ответить
    Альтер Эго

    Что тут сказать, используйте почту Яндекса и Рамблера, эти почтовики бережно и аккуратно следят за чистоплотностью. :) уж почта Яндекса намного лучше и быстрее Мейловской, а до Gmail почте Мыла совсем далеко

  • Ответить

    >уж почта Яндекса намного лучше и быстрее Мейловской, а до Gmail почте Мыла совсем далеко бьюсь головой об стенку. Более 5 лет использовал в параллели 2 пары ящиков: яндекс+майл, наглядно показывает какой сервис быстрее-надежнее (примерно десяток писем в день). Яндекс увы куда чаще оказывался и тупо недоступен, и просто медленнее в работе. Даже спорить не о чем.

  • Ответить

    после запуска gmail перестал понимать в чем смысл использовать почту яндекс, маил, рамблер в качестве основных (основных для досуга даже) emailов (имею ящики на всех трех порталах), был бы благодарен за прояснение --

  • Ответить

    Согласен полностью, почта Маил.ру уже не торт. Куда интересней, по всем характерестикам, почта от Яндекса. Давно уже нада всем уходить с Маила на Яндекс. Может при оттоке пользователей, Маил наконец начнет что-то менять. если конечно на тот момент не будет уже поздно…

  • Ответить
    ilyak организация, способная на многое

    Гмыл тоже не идеален: «I was unimpressed with the glacially slow development of Gmail’s interface, its poor filtering capabilities, and the relentless invasion of Google Chat, Google Buzz, and other Google Widgets that refused to stop showing up in my email system» © какой-то бусурманин В смысле, gmail — это такой клёвый концепт, «первое толстое AJAX-приложение». Но собственно ездить на нём не очень удобно. Это годная веб-почта, но можно было бы сделать драматически лучше, то есть — ни в какой потолок не упёрлись. Ну вот например: это единственный в мире нефлешовый сайт, который при открытии показывает прогресс-бар загрузки. Зачем? Почему нельзя сделать, чтобы загружалось мгновенно, как это сделано на всех-всех остальных AJAX-сайтах?

  • Ответить
    Альтер Эго

    Скоро нам всем государство начнет с паспортами выдавать вася.иванов/почта.рф на базе russia.ru, DST уйдет на запад, пузырь mail.ru сдуется, а Яндекс отдастся нацпоиску.

  • Ответить

    что gmail не идеал понятно, но лучше ничего нет (на мой взгляд, если это не так, с интересом узнал бы про альтернативы). Плюс это развитый сервис, те же гугл.докс имеют ниши и их часто удобно использовать

  • Ответить
    Альтер Эго

    Алтернатив пока нет, но возможно скоро появятся, думаю речь пойдёт о чём то сильно распределённом.

  • Ответить
    ilyak организация, способная на многое

    А я вообще не понимаю, что в гмыле сейчас такого ценного, чтобы сложно было быть лучше Оговорюсь, что я минимально достаточно им пользуюсь кроме базового чтения почты, в том числе потому, что кроме базового чтения почты там наличие других фич неочевидно (ярлыки только разве, но их создать и правила настроить — тот ещё геморрой, поэтому их всего парочка). Так что тут любая веб-почта шустрая подойдёт.

  • Ответить

    Автор оригинальной статьи, на базе которой CNEWS соорудил этот феерический заголовок про "шантаж", уже ответил на Хабре, как это всё произошло: http://habrahabr.ru/blogs/infosecurity/104202/ Дословно: —8<———————————————— Добрый день, Вчера я опубликовал статью «маленькие проблемы большой компании». Я не мог и подумать, что публикация таких простых уязвимостей вызовет такую бурю эмоций. Единственная цель этой статьи было рассказать, о том, что кроме проблем безопасности сервисов, есть еще и проблема безопасности конечных пользователей. В этот же день со мной связался пользователь Skip_C_Dragg, который представился журналистом CNews и попросил ответить на несколько вопросов. Думаю, это была моя самая большая ошибка. Вырезав из контекста часть моих ответов, на портале Cnews появилась статья «Дыры» в mail.ru заставляют закрыть шантажом. Уязвимости не являются критичными для компании, они являются критичными только для пользователя, на которого целенаправленно проводится атака. И именно поэтому я принял решение их опубликовать. Именно это я и написал в ответе журналисту: «Все эти уязвимости являются не столько критичными для компании, сколько критичными для пользователя. Никому не хочется, чтобы его данные можно было использовать или уничтожить каким-либо образом.» Действительно, я опубликовал не все уязвимости, но как я и сообщил журналисту, я не собираюсь опубликовывать ни одну новую уязвимость без предварительно уведомления руководства портала: «Я не собираюсь сразу опубликовывать остальные уязвимости, конечно, сначала я опять отправлю информацию руководству портала, так я делаю всегда. Так что не думаю, что „шантаж“ правильное слово для этого.». В ответ журналист сказал, что «Ну да, „шантаж“ — это не вполне по существу, но заголовок — не совсем моя компетенция.» Само слово шантаж, использовано в названии статьи неправомерно. Официально заявляю, что никогда не присылал и не собирался присылать угрозы в адрес компании Mail.RU. Я никогда не угрожал компании Mail.RU и не требовал денег за свои услуги. Все отчеты я предоставил в компанию Mail.RU на безвозмездной основе. Я надеюсь это подтвердят официальные представители. Вчера, со мной связался сотрудник компании Mail.RU и поблагодарил за данный отчет. Также он сообщил, что «место внутри компании, где застряло Ваше прошлое сообщение о дырах, тоже нашли». После чего, я убрал все подробности об уязвимостях из статьи. К сожалению, журналист, больше не отвечает на мои письма. Я надеюсь, что он читает этот раздел, поэтому прошу считать письмо официальным запросом на опровержение части информации содержащейся в статье на сайте CNews, а также уточнение деталей, о которых «скромно умолчали». —8<————————————————