«Респект ПО» — автоматизация вашего успеха, официальный партнер фирмы «1С», Краснодар
Новости компании

Mail.ru не может закрыть уязвимости
16/09/2010

 Mail.ru не может закрыть уязвимости, описание которых передали в компанию месяц назад. Обнаруживший уязвимости сервисов Mail.ru Илья А. отчаявшись ждать, пока Mail.ru устранит уязвимости, выложил их описания в открытый доступ. Специалист рассказал, что выявил бреши в безопасности, когда готовился к собеседованию на руководящую позицию в Mail.ru. Об этом сообщает CNews.ru.


Передав информацию об уязвимостях в аппарат технического директора Mail.ru, и убедившись на собеседовании, что информация получена, спустя четыре недели, он отметил, что уязвимости в безопасности не закрыты. После этого Илья опубликовал их описание в популярном ИТ-блоге. Помимо собственно описания уязвимостей, он привел в постинге готовые скрипты, нужные для их эксплуатации.

Использование самой безобидной из четырех уязвимостей удаляет письма пользователя по мере их прочтения. Вторая позволяет организовать спам-рассылку средствами Mail.ru, третья предназначена для уничтожения всех записей в сервисе "Еженедельник" Mail.ru. Наконец, с помощью четвертой злоумышленник получает возможность заблокировать чужой аккаунт в сервисе Деньги.Mail.ru. Илья говорит, что две из четырех уязвимостей сравнительно безобидны (он называет их "шалостями"), и критичны только уязвимости ежедневника, который может повлиять на имидж компании, и в "Деньгах.Mail.ru", "по причине того, что это сервис управляющий деньгами".

По словам Ильи, единственный мотив, который он преследовал при публикации скриптов, — поторопить компанию с закрыванием уязвимостей имеющихся в работающих сервисах. "Я хотел объяснить руководству Mail.ru, что надо больше думать о безопасности пользователя".

Илья рассказал, что публикация скриптов была сделана с добрыми намерениями, и привел в подтверждение этого два довода. Во-первых, перед публикацией скриптов, "как это принято в мире ИТ-безопасности», выждал четыре недели. Во-вторых, он дает Mail.ru шанс исправится. По словам Ильи А., он описал не все найденные им уязвимости Mail.ru. Однако, если компания оперативно закроет уже существующие уязвимости, он не будет торопиться с обнародованием остальных. По его словам, описание уязвимостей имеется у руководства портала, хотя ему "при встрече показалось, что им совсем не интересна эта тема".

Скорая помощь вашему компьютеру
«ST-Мобильная торговля» для 1С обеспечит вас современным инструментом управления бизнеса, значительно снизит ваши издержки, снимет внутренние ограничения роста и даст уверенность в контроле над ситуацией.
Купить компьютерную технику? Подобрать необходимые программы? Внедрить систему на предприятии и обучить персонал? Комплексная автоматизация
Наши офисы
 
Краснодар, 
ул.Карякина, 18
тел. (861) 992-41-83
тел. (861) 992-41-86
тел. (861) 992-41-79
 
torg@respect-po.ru