Mail.ruは重大な脆弱性を閉じません

先日、ネットワークセキュリティの特定の専門家であるIlya A.がMail.ruサービスにいくつかの重大な脆弱性を発見したことが判明しました。 「警備員」は技術サポートに彼の発見について書いたが、いつものように、応答や挨拶を受け取りませんでした。 イリヤA.は、自分の利己的な目的で見つかった穴を使い始めるか、単にこれをすべて忘れる代わりに、単に脆弱性の説明を公開し、これらの脆弱性の使用を許可する作業スクリプトをレイアウトしました。 これまでのところ、見つかったものの一部のみが公開されていますが、ハッカーは、Mail.ruが今回修正しない場合、2番目の部分が公開されると言います。 そのような脆弱性は、すべてを使用するために急いでいることは明らかです。



特に興味深いのは、ハッカーが1か月前にMail.ruの「穴」に関する情報を提供したことです。 彼に通知された情報が受信され、それだけでアクションもフィードバックもありません。 1か月後、専門家は自分のブログで見つかったすべてを公開しました。



見つかった脆弱性は非常に興味深いものです。たとえば、1つを読むとユーザーレターを削除できます。 別の脆弱性は、同じMail.ruを介したスパムを許可します。 3番目の脆弱性は、「毎週」サービスで特定のユーザーのすべてのレコードを破壊する機能を提供します。 別の脆弱性は、サービスostのほぼすべてのユーザーのアカウントをブロックして、サービスMoney.Mail.ruの誰かのアカウントをブロックする機能を開きます。 ご覧のとおり、「穴」は非常に大きいため、専門家から提供された情報にサービスが注意を払わなかったのは不思議に思われます。



ネットワークセキュリティの専門家数名がスクリプトのパフォーマンスをチェックし、問題の緊急性を確認しました。 ハッカー自身は、このすべてを善意でのみ公開したため、Mail.ruは自身のサービスの問題（かなり大きな問題）に注意を払っていると主張しています。



この専門家と他の専門家の両方によると、問題を無視する状況は、Mail.ruだけでなく、国内外の大小さまざまなIT企業にとっても典型的です。



Mail.ruについては、Ilya A.は、この会社は発売前に製品をまったくテストしていないと考えています。 その結果、同様のインシデントが発生します。



さて、状況が発展するのを待ちましょう-今のところ、Mail.ruは沈黙を保っています。