Несколько типичных уязвимостей были обнаружены в почтовом сервисе «МойОфис», входящем в реестр
По словам эксперта, ему удалось в течение двух недель добиться регистрации в «защищенном» почтовом сервисе и через 10 минут исследований обнаружить первую уязвимость.
«XSS, клиентсайд-уязвимость позволяет хакеру получить доступ к аккаунту жертвы, например если жертва перейдет по специальной вредоносной ссылке», — написал Валиев.
Всего в сервисе было найдено несколько типичных уязвимостей. Валиев заявил, что передал информацию клиенту «МойОфис», добавив, что «абсолютно защищенного клиента не существует».
Он напомнил, что ранее компания «МойОфис» опубликовала исследование, в котором обвинила в плохой защищенности публичные почтовые сервисы Gmail, Mail.Ru и «Яндекс.Почта».
В конце прошлого года стало известно, что производитель российского аналога MS Office, пакета «МойОфис», объявил о сотрудничестве с ФГУП НИИ «Восход» для проведения тестирования пакета для применения на защищенных системах, в том числе в государственных органах. В 2016-м совместно с ФГУП НИИ «Восход» планировалось проведение сертификации «МойОфис» ФСБ России, в том числе для работы с государственной тайной.
Летом 2015 года президент России Владимир Путин подписал закон, по которому с 1 января 2016 года государственные органы будут обязаны закупать софт из специально созданного реестра отечественного программного обеспечения. Однако, как стало известно средствам массовой информации, режим импортозамещения ПО фактически был сорван, поскольку Минкомсвязи не опубликовало в установленные сроки необходимые подзаконные акты.
По данным на май 2016 года, в реестр включено более 800 программных продуктов. В июне первый вице-