Mail.ru заставляют закрыть уязвимости

image

Теги: Mail.ru, уязвимость

Отчаявшись ждать, пока Mail.ru закроет критические уязвимости, специалист, обнаруживший проблемы, опубликовал их описания и скрипты.

Mail.ru не может закрыть уязвимости, описание которых передали в компанию месяц назад. Обнаруживший уязвимости сервисов Mail.ru Илья А. отчаявшись ждать, пока Mail.ru устранит уязвимости, выложил их описания в открытый доступ. Специалист рассказал, что выявил бреши в безопасности, когда готовился к собеседованию на руководящую позицию в Mail.ru. Об этом сообщает CNews.ru.

Передав информацию об уязвимостях в аппарат технического директора Mail.ru, и убедившись на собеседовании, что информация получена, спустя четыре недели, он отметил, что уязвимости в безопасности не закрыты. После этого Илья опубликовал их описание в популярном ИТ-блоге. Помимо собственно описания уязвимостей, он привел в постинге готовые скрипты, нужные для их эксплуатации.

Использование самой безобидной из четырех уязвимостей удаляет письма пользователя по мере их прочтения. Вторая позволяет организовать спам-рассылку средствами Mail.ru, третья предназначена для уничтожения всех записей в сервисе "Еженедельник" Mail.ru. Наконец, с помощью четвертой злоумышленник получает возможность заблокировать чужой аккаунт в сервисе Деньги.Mail.ru. Илья говорит, что две из четырех уязвимостей сравнительно безобидны (он называет их "шалостями"), и критичны только уязвимости ежедневника, который может повлиять на имидж компании, и в "Деньгах.Mail.ru", "по причине того, что это сервис управляющий деньгами".

По словам Ильи, единственный мотив, который он преследовал при публикации скриптов, — поторопить компанию с закрыванием уязвимостей имеющихся в работающих сервисах. "Я хотел объяснить руководству Mail.ru, что надо больше думать о безопасности пользователя".

Илья рассказал, что публикация скриптов была сделана с добрыми намерениями, и привел в подтверждение этого два довода. Во-первых, перед публикацией скриптов, "как это принято в мире ИТ-безопасности», выждал четыре недели. Во-вторых, он дает Mail.ru шанс исправится. По словам Ильи, он описал не все найденные им уязвимости Mail.ru. Однако, если компания оперативно закроет уже существующие уязвимости, он не будет торопиться с обнародованием остальных. Он обещает, что будет и дальше заранее уведомлять руководство портала перед публикацией новых уязвимостей. По его словам, описание уязвимостей имеется у руководства портала, хотя ему "при встрече показалось, что им совсем не интересна эта тема".


или введите имя

CAPTCHA
Страницы: 1  2  3  4  
Ииимммяяя
14-09-2010 11:52:23
На работу в Mail.ru этого Илья А. не возьмут. А зря.
0 |
20-09-2010 01:26:17
Наверно, не приняли, поэтому он их и выложил.
0 |
doctor
14-09-2010 12:01:02
Давно пора его закрыть и запретить. Сколько людей уже лет за 5 обращалось за помощью, не счесть!
0 |
Президент "Амедиа"
20-09-2010 09:19:47
Mail.ru будет закрыт!!!
0 |
Vet242
14-09-2010 12:13:12
там походу сами они все знают а сделают - когда ктонить не взломает конкретно весь mail.ru
0 |
а вот вам
14-09-2010 12:43:36
Уязвимости в Mail.ru заставляют закрыть шантажом странная постановка вопроса в заголовке. майл.ру за наличие уязвимостей и отказ их исправления следовало бы наказать по УК (распространение заведомо дырявых приложений), если бы таковая была. но оно ж не нужно никому. и до тех пор пока таковой не будут - производителю вообще нет смысла заплатки делать - написал поделку, содрал денег - и фиг с ними, с пользователями. бабло то уже получено. а отвечают за это пусть те, кто воспользуется. (ну или лохи-пользователи, что происходит гораздо чаще)
0 |
Виктор
15-09-2010 09:08:07
Комментарии к статье CNews «Дыры в Mail.RU закрывают шантажом»
0 |
14-09-2010 12:59:17
Внимательно перечитав описания уязвимостей пришёл к выводу, что это не уязвимости. Просто Илья А. нашёл бэкдор самих майловцев. А им теперь придётся пол движка переписать, что бы сохранить функционал(рассылка спама, блокировка нежелательных аккаунтов деньги@маил.ру) и закрыть к ним доступ для Илья А.
0 |
az esm
14-09-2010 23:47:55
Точно. Что сделал Илья А.? Разгласил. Предупреждал? Предупреждал. Что сделали mail.ru? Ничего. Время у них было? Было. ЗНАЧИТ ТАК MAIL.RU НАПЛЕВАТЬ НА ПОЛЬЗОВАТЕЛЕЙ! Ну и правильно сделал что разгласил. В полном соответствии с этикой. Пока дураков не начнут учить они будут только крепчать. Илья А. - ты наш герой!
0 |
Страницы: 1  2  3  4