Карим Валиев, руководитель группы информационной безопасности Почты Mail.Ru, опубликовал на своей странице результаты тестирования на защищенность почтового клиента МойОфис. Поводом послужило исследование компании месяц назад, в котором МойОфис рассказывал о том, что публичные почтовые сервисы не могут обеспечить госслужащим должный уровень защиты. theRunet публикует полный текст поста. 

Недавно ребята из МойОфис выпустили резонансное исследование безопасности почтовых сервисов, используемых госучреждениями в России. Выводы были такие: не используйте для рабочей переписки Mail. Ru, Яндекс и Gmail, потому что ящики на них подвержены «высокой вероятности взлома», используйте Почту МойОфис, потому что она «защищенная» и сертифицированная.

Естественно, нам стало интересно, что это за «защищенная почта». «Защищенность» проявилась сразу: зарегистрироваться на сайте просто так нельзя. Мне пришлось 2 недели переписываться и созваниваться с интеграторами, чтобы наконец получить промокод для регистрации.

Запасшись пиццей, я уже было приготовился провести ночь в тяжелой схватке с защищенной российской почтой, но не тут-то было: первая XSS в теле письма нашлась за 10 минут.

Дальше — больше. Еще одна XSS, CSRF, опять XSS.

То есть, в прямом смысле: ты думаешь, какая еще «типичная» уязвимость может найтись в веб-почте, проверяешь, и либо эта уязвимость там есть, либо этот функционал еще не реализован. Например, нет XSS в превью почтовых аттачей. Потому что превью почтовых аттачей пока не сделали.

Для тех, кто не глубоко погружен в тему, XSS — это клиентсайд-уязвимость, которая позволяет хакеру получить доступ к аккаунту жертвы, например, если жертва перейдет по специальной вредоносной ссылке. От XSS в теле письма не защитит ни установка продукта на своих серверах, ни запрет на доступ к сервису снаружи.

Детали уязвимостей я, естественно, пока раскрывать не буду (выслал коллегам из МойОфис подробное описание).

Получается, на данный момент МойОфис по уровню защищенности находится далеко позади Mail. Ru, Яндекса и других публичных почтовых сервисов, раскритикованных в этом исследовании. Пока трудно рекомендовать этот продукт к использованию тем, кто заботится о своей безопасности, и тем более, госструктурам.

С одной стороны, абсолютно безопасных систем не бывает, везде есть уязвимости, особенно в молодых сервисах, которые только начинают развиваться. МойОфис явно работает над улучшением своей защищенности: недавно появилась новость о том, что они заказали аудит у DSec. Если бы не одно, но: когда ваш продукт на таком уровне, несколько преждевременно пиариться на безопасности, называя «дырявыми» конкурентов.

И да, если уж сравнивать уровень безопасности, давайте делать это честно: открывайте доступ для всех желающих, запускайте Bug Bounty программу, ищите и репортите баги у других сервисов. В конце концов, честная конкуренция в этой сфере полезна для всех:)

UPD. МойОфис прокомментировал ситуацию с уязвимостями и исследованием.