Кто как обзывается... Эксперты обнаружили уязвимости в сервисе МойОфис Почта за 10 минут

04.07.2016 |

Андрей Блинов.

Из всего многообразия маркетинговых ходов самым банальным способом продвижения нового продукта, вероятно, является заявление о том, что все конкуренты уже много лет выпускают непонятно что, а вот наша уникальная разработка безопасна и удобна. Амбициозные маркетологи компании «Новые облачные технологии» попытались бросить вызов таким грандам, как Google, Mail.ru и «Яндекс», но пользовательские тесты МойОфис Почта пока что проваливает.

Как заявлено на сайте компании, команда программистов «Новых облачных технологий» трудится над облачной платформой «МойОфис» с весны 2013 года, то есть немногим более трех лет. Сегодня компания выводит на рынок почтовый сервис МойОфис Почта, причем главным конкурентным преимуществом продукта заявляется не что иное как безопасность.

Для подтверждения данного тезиса компания совместно с АНО «Информационная культура» даже провела исследование, касающееся использования электронной почты

в государственной инфраструктуре России, которое, в принципе, должно было закрепить в сознании потребителя и без того известные факты: а) большинство сотрудников госучреждений используют публичную почту (включая gmail и outlook); б) публичная почта небезопасна. Делаются выводы о том, что 78% этих пользователей находятся в «зоне риска».

Вероятно, эту цифру с удовольствием оспорили бы эксперты ИБ-компаний — производители антивирусов, например, — которые также часто используют элементы запугивания потребителей в своих рекламных кампаниях (правда, к их чести, — без критики конкурентов). Ведь, только учитывая успехи мошенников в социальной инженерии, можно с уверенностью отнести к «зоне риска» 99,9% населения страны. Однако более интересно то, какой выход из положения рекомендуют авторы исследования: панацею в виде «защищенного» и «сертифицированного» сервиса МойОфис Почта.

Опровержение первого утверждения — о высокой степени защищенности — появилось достаточно быстро. Эксперт из mail.ru Карим Валиев поделился в Facebook результатом своих исследований: уже через 10 минут после тестирования сервиса обнаружилась первая XSS-уязвимость в МойОфис Почта. В дальнейшем были открыты другие XSS и CSRF-уязвимости. «На данный момент МойОфис по уровню защищенности находится далеко позади Mail.Ru, Яндекса и других публичных почтовых сервисов», — делает вывод Карим.

Другой пользователь, не принадлежащий к структурам Mail.ru, смог проникнуть во внутренний интерфейс сервиса за полчаса.

Интересен ответ маркетологов «Новых облачных технологий». По их словам, компания вообще не оказывает конечный сервис и не делает «облачную почту», а проведенное исследование — всего лишь посыл для чиновников о том, что «вести публичную переписку в бесплатных публичных сервисах — нельзя».

В конце концов, судя по вызванному этой историей резонансу, важнее не то, насколько уязвима та или иная почтовая система: сообщения о различных исследованиях и инцидентах из этой области появляются постоянно. Главное — принцип добросовестной конкуренции, нарушение которого, вероятно, сойдет с рук на овощном рынке, но в ИТ — в силу масштаба — вряд ли.

UPDATE. После публикации данного материала с нами связалась PR-менеджер компании «Новые облачные технологии» Вероника Михайлова, обратившая внимание на два момента. Во-первых, в исследовании, подготовленном более месяца назад, конкретные названия публичных сервисов были приведены в данном исследовании как наиболее распространенные. Во-вторых, сотрудник mail.ru изучил тестовый демонстрационный стенд МойОфис. Боевые версии облачной почты разворачиваются на серверах заказчика. Перечисленные уязвимости ранее были обнаружены экспертами компании Digital Security и устранены в обновлении 1 июля 2016 года.

«Публикация списка уязвимостей в открытом доступе спустя один час могла подвергнуть опасности наших пользователей, если бы проводилось исследование не тестового стенда, а «боевой» облачной почты, как полагал сотрудник mail.ru», - комментирует PR-менеджер компании «Новые облачные технологии».

В свою очередь также заметим, что а) сотрудник mail.ru, по его словам, не публиковал в открытом доступе список уязвимостей, а отослал его разработчикам МоегоОфиса; б) логично предполагать, что уязвимости, присутствовавшие в тестовом варианте МойОфис, не обошли стороной и «боевые» версии почты. Радует, что они были устранены достаточно оперативно.