15.09.2010
Опубликованы описания критических уязвимостей сервисов Mail.ru
Публикация описаний стала попыткой побудить руководство Mail.ru закрыть дыры в безопасности сервисов.
Около месяца назад были обнаружены возможности удалять письма пользователей по мере их прочтения, использовать средства Mail.ru для рассылки спама, уничтожения записей в сервисе Еженедельник и блокировать аккаунты пользователей в системе Деньги.Mail.ru.
Специалист, обнаруживший уязвимости, переслал их описания соответствующим службам портала. Однако, спустя четыре недели, никаких шагов по устранению дыр в безопасности сервисов не было предпринято.
Чтобы обратить внимание руководства портала на проблему и поторопить с ее решением, описания уязвимостей, а также скрипты для их эксплуатации были опубликованы в открытом доступе.
Несмотря на факт публикации, компания Mail.ru до настоящего времени не закрыла уязвимости и не прокомментировала сложившуюся ситуацию.
Специалисты по безопасности отмечают, что безразличие к обнаруживаемым уязвимостям стало классическим поведением руководства российских интернет-компаний вообще и Mail.ru в частности. По их мнению, найденные уязвимости типичны и могли быть обнаружены при тестировании новых сервисов, а это означает, что новые продукты не тестировались перед запуском.
Новые интернет-сервисы, как правило, всегда имеют уязвимости, которые обнаруживаются после их публичного запуска, однако до настоящего времени была принята практика оперативного устранения дыр в безопасности.
В сложившейся ситуации мы рекомендуем нашим пользователям с особой осторожностью отнестись к новым сервисам, вводимым на популярных российских порталах.