Уязвимости в Mail.ru заставляют закрыть шантажом
Mail.ru не может закрыть уязвимости, описание которых передали в компанию месяц назад. Обнаруживший уязвимости сервисов Mail.ru Илья А. отчаявшись ждать, пока Mail.ru устранит уязвимости, выложил их описания в открытый доступ. Он рассказал, что выявил уязвимости в безопасности, когда готовился к собеседованию на руководящую позицию в Mail.ru.
Передав информацию об уязвимостях в аппарат технического директора Mail.ru, и убедившись на собеседовании, что информация получена, спустя месяц, он отметил, что уязвимости в безопасности не закрыты. После этого Илья публиковал их описание в Интернет. Помимо собственно описания уязвимостей, он привел в постинге готовые скрипты, необходимые для эксплуатации уязвимостей.
Использование самой безобидной из четырех опубликованных уязвимостей удаляет письма пользователя по мере их прочтения. Вторая позволяет организовать спам-рассылку средствами Mail.ru, третья предназначена для уничтожения всех записей в сервисе «Еженедельник» Mail.ru. Наконец, с помощью четвертой злоумышленник получает возможность заблокировать чужой аккаунт в сервисе Деньги.Mail.ru. Илья говорит, что две из четырех уязвимостей сравнительно безобидны (он называет их «шалостями»), и критичны только уязвимости в ежедневнике, поскольку она может повлиять на имидж компании, и в «Деньгах.Mail.ru», «по причине того, что это сервис, управляющий деньгами».
По словам Ильи, единственный мотив, который он преследовал при публикации скриптов, — поторопить компанию с закрыванием уязвимостей, имеющихся в работающих сервисах. «Я хотел объяснить руководству Mail.ru, что надо больше думать о безопасности пользователя». Такое положение дел обычно складывается, когда в ИТ-компании число менеджеров превышает число компьютерщиков и программистов в десятки раз.