Карим Валиев сумел найти XSS в online-сервисе МойОфис всего за 10 минут.
Исследователь безопасности Карим Валиев опубликовал на своей странице в Facebook сообщение о наличии множества уязвимостей в почтовом online-сервисе МойОфис.
На официальной странице сайта расположено исследование , приводящее ужасающие факты утечек данных и небезопасного использования бесплатных отечественных или зарубежных сервисов, а также серверных решений. Единственным правильным вариантом является использовать МойОфис. Конечно же, обмениваться конфиденциальными данными через облачные и бесплатные почтовые сервисы не стоит, однако МойОфис не далеко ушел от не рекомендуемых решений, поскольку является облачной платформой.
По словам исследователя, сервис МойОфис содержит множественные XSS и CSRF уязвимости, обнаруженные в первые 10 минут тестирования сайта.
«В прямом смысле: ты думаешь, какая еще “типичная” уязвимость может найтись в веб-почте, проверяешь, и либо эта уязвимость там есть, либо этот функционал еще не реализован.:) Например, нет XSS в превью почтовых аттачей. Потому что превью почтовых аттачей пока не сделали», - пишет исследователь.
На скриншоте ниже опубликована демонстрация XSS в теле сообщения письма:
«Детали уязвимостей я, естественно, пока раскрывать не буду (выслал коллегам из МойОфис подробное описание на contact@ncloudtech.ru ).
Получается, на данный момент МойОфис по уровню защищенности находится далеко позади Mail.Ru, Яндекса и других публичных почтовых сервисов, раскритикованных в этом исследовании. Пока трудно рекомендовать этот продукт к использованию тем, кто заботится о своей безопасности, и тем более, госструктурам.
С одной стороны, абсолютно безопасных систем не бывает, везде есть уязвимости, особенно в молодых сервисах, которые только начинают развиваться. МойОфис явно работает над улучшением своей защищенности: недавно появилась новость о том, что они заказали аудит у DSec. Если бы не одно но: когда ваш продукт на таком уровне, несколько преждевременно пиариться на безопасности, называя “дырявыми” конкурентов»,- пишет исследователь.
ОБНОВЛЕНО
С нами связались представители компании-разработчка МойОфис. Ниже приводим цитату из полученного письма:
"Все уязвимости, обнаруженные представителем компании Mail.ru, были найдены компанией Digital Security ранее, что было зафиксировано в соответствующих отчетах. Все замечания были учтены в очередном обновлении продукта, которое прошло 1 июля 2016 года".
Ладно, не доказали. Но мы работаем над этим