Отчаявшись ждать, пока Mail.ru закроет критические уязвимости, специалист, обнаруживший проблемы, опубликовал их описания и скрипты. По его словам, если Mail.ru исправится, дальнейший список «дыр» опубликован не будет. Эксперты по безопасности говорят, что наплевательское отношение к веб-безопасности — обычное явление в российских компаниях.
Mail.ru не может закрыть «дыры», описание которых передали в компанию месяц назад. Обнаруживший уязвимости сервисов Mail.ru Илья А. отчаявшись ждать, пока Mail.ru устранит уязвимости, выложил их описания в открытый доступ. Он рассказал CNews, что выявил «дыры» в безопасности, когда готовился к собеседованию на руководящую позицию в Mail.ru.
Передав информацию об уязвимостях в аппарат технического директора Mail.ru, и убедившись на собеседовании, что информация получена, спустя четыре недели, он отметил, что «дыры» в безопасности не закрыты. После этого Илья публиковал их описание в популярном ИТ-блоге. Помимо собственно описания «дыр», он привел в постинге готовые скрипты, нужные для эксплуатации уязвимостей. CNews воздерживается от ссылки на постинг, чтобы снизить шанс использования уязвимостей потенциальными злоумышленниками.
Использование самой безобидной из четырех «дыр» удаляет письма пользователя по мере их прочтения. Вторая позволяет организовать спам-рассылку средствами Mail.ru, третья предназначена для уничтожения всех записей в сервисе «Еженедельник» Mail.ru. Наконец, с помощью четвертой злоумышленник получает возможность заблокировать чужой аккаунт в сервисе Деньги.Mail.ru. Илья говорит, что две из четырех уязвимостей сравнительно безобидны (он называет их «шалостями»), и критичны только уязвимости в ежедневнике, поскольку она может повлиять на имидж компании, и в «Деньгах.Mail.ru», «по причине того, что это сервис, управляющий деньгами».
http://internet.cnews.ru/news/top/index … /13/408404 - полный текст новости
