Ай Ком Сервис 15.09.2010 Уязвимость в Mail.ru - 15 Сентября 2010 - Ай Ком Сервис
Главная » 2010 » Сентябрь » 15 » 15.09.2010 Уязвимость в Mail.ru
13:07
15.09.2010 Уязвимость в Mail.ru
Из опубликованного на CNews.ru стало известно, что готовясь к собеседованию на руководящую позицию в Mail.ru, некий Илья А  выявил бреши в системе безопасности. Передав информацию об уязвимостях в аппарат технического директора Mail.ru и убедившись на собеседовании, что информация получена, спустя четыре недели, он отметил, что уязвимости в безопасности не закрыты. По всей видимости, Mail.ru не может закрыть уязвимости, описание которых передали в компанию месяц назад. Обнаруживший уязвимости Илья А. отчаявшись ждать, пока Mail.ru устранит уязвимости, выложил их описания в открытый доступ.  Опубликовав их описание в популярном ИТ-блоге,  он привел в постинге готовые скрипты, нужные для эксплуатации уязвимостей системы. Функция использования самой безобидной из четырех уязвимостей сводится к удалению писем пользователя по мере их прочтения. Вторая уязвимость позволяет организовать спам-рассылку средствами Mail.ru, третья предназначена для уничтожения всех записей в сервисе "Еженедельник" Mail.ru.  Но самое интересное впереди. С помощью четвертой, злоумышленник получает возможность заблокировать чужой аккаунт в сервисе Деньги.Mail.ru. Илья говорит, что две из четырех уязвимостей относительно безобидны, и критичны только уязвимости, позволяющие получить доступ к функциям ежедневника, и которая может повлиять на имидж компании, и в "Деньгах.Mail.ru", "по причине того, что это сервис управляющий деньгами". По словам Ильи, единственный мотив, который он преследовал при публикации скриптов, — поторопить компанию с закрыванием уязвимостей имеющихся в работающих сервисах. "Я хотел объяснить руководству Mail.ru, что надо больше думать о безопасности пользователя". Илья рассказал, что публикация скриптов была сделана с добрыми намерениями, и привел в подтверждение этого два довода. Во-первых, перед публикацией скриптов, "как это принято в мире ИТ-безопасности», выждал четыре недели. Во-вторых, он дает Mail.ru шанс исправится. По словам Ильи А., он описал не все найденные им уязвимости Mail.ru. Однако, если компания оперативно закроет уже существующие уязвимости, он не будет торопиться с обнародованием остальных. По его словам, описание уязвимостей имеется у руководства портала, хотя ему "при встрече показалось, что им совсем не интересна эта тема".


Категория: Интернет угрозы | Просмотров: 645 | Добавил: Administrator | Теги: уязвисость в системе безопасности, кража данных, взлом аккаунта, Деньги.Mail.ru, скрипты, Mail.ru | Рейтинг: 0.0/0
Всего комментариев: 1
1 Administrator  
0
Интересно, чего хотел Илья? У нас всё так и такое отношение. Что говорить про какой то Mail.Ru, когда у нас на уровне руководства страны бардак. По этой причине национальной ОС всегда будет Windows, а поисковой системой Google, а чайники мы будем покупать в Китае или выменивать на лес, пока Медведев фантазирует в бреду про технологии и прочее.

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]