Уязвимости в Mail.ru по-прежнему не устранены

Картинка: 

Mail.ru не может закрыть уязвимости, описание которых передали в компанию месяц назад. Обнаруживший уязвимости сервисов Mail.ru Илья А. отчаявшись ждать, пока Mail.ru устранит уязвимости, выложил их описания в открытый доступ. Специалист рассказал, что выявил бреши в безопасности, когда готовился к собеседованию на руководящую позицию в Mail.ru. Об этом сообщает CNews.ru.

Передав информацию об уязвимостях в аппарат технического директора Mail.ru, и убедившись на собеседовании, что информация получена, спустя четыре недели, он отметил, что уязвимости в безопасности не закрыты. После этого Илья опубликовал их описание в популярном ИТ-блоге. Помимо собственно описания уязвимостей, он привел в постинге готовые скрипты, нужные для их эксплуатации.

Использование самой безобидной из четырех уязвимостей удаляет письма пользователя по мере их прочтения. Вторая позволяет организовать спам-рассылку средствами Mail.ru, третья предназначена для уничтожения всех записей в сервисе "Еженедельник" Mail.ru. Наконец, с помощью четвертой злоумышленник получает возможность заблокировать чужой аккаунт в сервисе Деньги.Mail.ru. Илья говорит, что две из четырех уязвимостей сравнительно безобидны (он называет их "шалостями"), и критичны только уязвимости ежедневника, который может повлиять на имидж компании, и в "Деньгах.Mail.ru", "по причине того, что это сервис управляющий деньгами".

По словам Ильи, единственный мотив, который он преследовал при публикации скриптов, — поторопить компанию с закрыванием уязвимостей имеющихся в работающих сервисах. "Я хотел объяснить руководству Mail.ru, что надо больше думать о безопасности пользователя".

Илья рассказал, что публикация скриптов была сделана с добрыми намерениями, и привел в подтверждение этого два довода. Во-первых, перед публикацией скриптов, "как это принято в мире ИТ-безопасности», выждал четыре недели. Во-вторых, он дает Mail.ru шанс исправится. По словам Ильи А., он описал не все найденные им уязвимости Mail.ru. Однако, если компания оперативно закроет уже существующие уязвимости, он не будет торопиться с обнародованием остальных. По его словам, описание уязвимостей имеется у руководства портала, хотя ему "при встрече показалось, что им совсем не интересна эта тема".

© securitylab.ru