На днях стало известно, что некий специалист по сетевой безопасности, Илья А., обнаружил несколько критических уязвимостей в сервисах Mail.ru. О своих находках «безопасник» отписал в техподдержку, но, как водится, не получил ни ответа, ни привета. Вместо того, чтобы начать использовать найденные дыры в собственных корыстных целях или же просто забыть обо всем этом, Илья А. просто опубликовал как описания уязвимостей, так и выложил рабочие скрипты, которые позволяют эти самые уязвимости использовать. Пока что опубликована только часть найденного, но хакер говорит, что если Mail.ru и на сей раз ничего не исправит, будет опубликована и вторая часть. Понятно, что такие уязвимости ринутся использовать все кому не лень.
Особенно интересно то, что информацию о «дырах» хакер предоставил Mail.ru еще месяц назад. Информация была получена, о чем его известили, и все, никаких действий или откликов. Через месяц эксперт опубликовал все найденное в своем блоге.
Найденные уязвимости весьма интересны — к примеру, одна из них позволяет удалять письма пользователя после прочтения каждого. Еще одна уязвимость позволяет рассылать спам посредством того же Mail.ru. Третья уязвимость предоставляет возможность уничтожить все записи конкретного пользователя в сервисе «Еженедельник». Еще одна уязвимость открывает возможность блокировать аккаунт практически любого пользователя на сервисе ость заблокировать чужой аккаунт в сервисе Деньги.Mail.ru. Как видим, «дыры» довольно крупные, так что остается только удивляться, почему же сервис не обратил внимания на информацию, предоставленную экспертом.
Несколько специалистов по сетевой безопасности, проверив работоспособность скриптов, подтвердили актуальность проблемы. Сам же хакер утверждает, что публиковал все это только с благими намерениями, дабы Mail.ru все же обратила внимание на проблемы, и довольно крупные, собственных сервисов.
По словам как этого специалиста, так и других экспертов, ситуация с игнорированием проблем характерна не только для Mail.ru, но и для других ИТ-компаний, как крупных, так и мелких, как отечественных, так и зарубежных.
Что касается Mail.ru, то Илья А. считает, что эта компания вообще не тестирует свои продукты перед запуском, или, если и тестирует, то не особенно тщательно, «для галочки». В результате и случаются подобные казусы.
Что же, подождем развития ситуации – пока что Mail.ru продолжает хранить молчание.
