В почтовом сервисе для чиновников нашли уязвимости за 10 минут

Сотрудник Mail.ru Карим Валиев в своем Facebook рассказал об уязвимостях в специальном почтовом сервисе для российских чиновников от компании "МойОфис".

Внимание программиста привлекло исследование безопасности почтовых сервисов, выпущенное под названием "Росгоспочта". В нем утверждалось, что для рабочей переписки нельзя использовать почту от Mail.Ru, Яндекс и Gmail, поскольку ящики на ней "подвержены высокой вероятности взлома".

В то же время утверждалось, что почта "МойОфис" является "защищенной и сертифицированной". Валиев обратился к сотрудникам компании с просьбой предоставить ему почтовый ящик (сервис не имеет свободной регистрации). Процесс занял две недели, однако первые уязвимости специалист обнаружил уже через десять минут после регистрации.

"Запасшись пиццей, я уже было приготовился провести ночь в тяжелой схватке с защищенной российской почтой, но не тут-то было: первая XSS в теле письма нашлась за 10 минут. Дальше - больше. Еще одна XSS, CSRF, опять XSS. То есть, в прямом смысле: ты думаешь, какая еще “типичная” уязвимость может найтись в веб-почте, проверяешь, и либо эта уязвимость там есть, либо этот функционал еще не реализован :) Например, нет XSS в превью (предпросмотр) почтовых аттачей. Потому что превью почтовых аттачей (вложений) пока не сделали", - пишет он.

Подробности об обнаруженных "дырах" в безопасности сервиса Валиев отправил его создателям.

Под XSS-уязвимостями в данном случае имеются в виду способы внедрения и выполнения посторонних строчек кода в интерфейс почтового сервиса через поступающие клиенту письма. С помощью XSS-атаки злоумышленник может в том числе и получить доступ к другим письмам пользователя.