Суперзащищённый почтовый клиент для чиновников взломали за 10 минут

Сотрудник Mail.Ru Group Карим Валиев потратил всего десять минут на взлом почтового сервиса «МойОфис», который был рекомендован российским чиновникам для ведения рабочей переписки как самый безопасный. Об этом Карим Валиев на писал на своей странице в Facebook.

Валиев объяснил, что ему потребовалось около двух недель для того, чтобы получить код, необходимы для регистрации в этом сервисе. Сложность регистрации, по всей видимости, единственное, что защищает этот сервис, поскольку в почте моментально обнаружилось несколько уязвимостей, в том числе XSS.

Валиев пишет:

Для тех, кто не глубоко погружен в тему, XSS — это клиентсайд-уязвимость, которая позволяет хакеру получить доступ к аккаунту жертвы, например, если жертва перейдет по специальной вредоносной ссылке. От XSS в теле письма не защитит ни установка продукта на своих серверах, ни запрет на доступ к сервису снаружи.

Детали уязвимостей я, естественно, пока раскрывать не буду (выслал коллегам из МойОфис).

Валиев заключает, что почта Mail.ru или Яндекса намонго безопаснее, а ящики, зарегистрированные в сервисе «МойОфис», подвержены и можно легко взломать.

Добавить комментарий