Карим Валиев сумел найти XSS в online-сервисе МойОфис всего за 10 минут.
Исследователь безопасности Карим Валиев опубликовал на своей странице в Facebook сообщение о наличии множества уязвимостей в почтовом online-сервисе МойОфис.
На официальной странице сайта расположено исследование, приводящее ужасающие факты утечек данных и небезопасного использования бесплатных отечественных или зарубежных сервисов, а также серверных решений. Единственным правильным вариантом является использовать МойОфис. Конечно же, обмениваться конфиденциальными данными через облачные и бесплатные почтовые сервисы не стоит, однако МойОфис не далеко ушел от не рекомендуемых решений, поскольку является облачной платформой.
По словам исследователя, сервис МойОфис содержит множественные XSS и CSRF уязвимости, обнаруженные в первые 10 минут тестирования сайта.
"В прямом смысле: ты думаешь, какая еще "типичная" уязвимость может найтись в веб-почте, проверяешь, и либо эта уязвимость там есть, либо этот функционал еще не реализован.:) Например, нет XSS в превью почтовых аттачей. Потому что превью почтовых аттачей пока не сделали", - пишет исследователь.
На скриншоте ниже опубликована демонстрация XSS в теле сообщения письма.
"Детали уязвимостей я, естественно, пока раскрывать не буду (выслал коллегам из МойОфис подробное описание на contact@ncloudtech.ru).
Получается, на данный момент МойОфис по уровню защищенности находится далеко позади Mail.Ru, Яндекса и других публичных почтовых сервисов, раскритикованных в этом исследовании. Пока трудно рекомендовать этот продукт к использованию тем, кто заботится о своей безопасности, и тем более, госструктурам.
С одной стороны, абсолютно безопасных систем не бывает, везде есть уязвимости, особенно в молодых сервисах, которые только начинают развиваться. МойОфис явно работает над улучшением своей защищенности: недавно появилась новость о том, что они заказали аудит у DSec. Если бы не одно но: когда ваш продукт на таком уровне, несколько преждевременно пиариться на безопасности, называя "дырявыми" конкурентов",- пишет исследователь.
Подобные уязвимости может обнаружить даже школьник без особой подготовки. Почему производитель не осуществил элементарное тестирование продукта перед открытием доступа клиентам остается загадкой. И если online-сервис МойОфис успешно прошел еще и испытания на проникновение, то это "пИчалька" для отечественной ИБ индустрии.