Новости

15.09.2010

Опубликованы описания критических уязвимостей сервисов Mail.ru

Публикация описаний стала попыткой побудить руководство Mail.ru закрыть дыры в безопасности сервисов.

Около месяца назад были обнаружены возможности удалять письма пользователей по мере их прочтения, использовать средства Mail.ru для рассылки спама, уничтожения записей в сервисе Еженедельник и блокировать аккаунты пользователей в системе Деньги.Mail.ru.

Специалист, обнаруживший уязвимости, переслал их описания соответствующим службам портала. Однако, спустя четыре недели, никаких шагов по устранению дыр в безопасности сервисов не было предпринято.

Чтобы обратить внимание руководства портала на проблему и поторопить с ее решением, описания уязвимостей, а также скрипты для их эксплуатации были опубликованы в открытом доступе.

Несмотря на факт публикации, компания Mail.ru до настоящего времени не закрыла уязвимости и не прокомментировала сложившуюся ситуацию.

Специалисты по безопасности отмечают, что безразличие к обнаруживаемым уязвимостям стало классическим поведением руководства российских интернет-компаний вообще и Mail.ru в частности. По их мнению, найденные уязвимости типичны и могли быть обнаружены при тестировании новых сервисов, а это означает, что новые продукты не тестировались перед запуском.

Новые интернет-сервисы, как правило, всегда имеют уязвимости, которые обнаруживаются после их публичного запуска, однако до настоящего времени была принята практика оперативного устранения дыр в безопасности.

В сложившейся ситуации мы рекомендуем нашим пользователям с особой осторожностью отнестись к новым сервисам, вводимым на популярных российских порталах.

Команда Чистого.Веба

Источник


Возврат к списку