Aa Aa Aa

M.E.Doc упорно замалчивает проблемы уязвимости своего сервера

Владимир Кондрашов
M.E.Doc упорно замалчивает проблемы уязвимости своего сервера

Представители команды программного обеспечения  M.E.Doc не опубликовали признание и отчет об исправлении обнаруженной уязвимости одного из серверов.

Об этом пишет InternetUA.

Как стало известно, спикер Украинского киберальянса, участник объединения RUH8,  известный в сети под ником Шон Таунсенд, обнаружил у M.E.Doc уязвимый сервер и в рамках responsible disclosure (ответственное раскрытие информации) сообщил об этом представителям компании. Однако те не выполнили обещания и публично не отчитались о обнаруженной уязвимости и её закрытии.

31318382_428049017643462_3179683513225969664_n.jpg (209 KB)– Я нашел уязвимый сервер и решил для разнообразия попробовать responsible disclosure – предупредил компанию о наличии уязвимости. Часа три они её искали и после подсказки с моей стороны нашли. А дальше началось интересное. Святослав Крижевич написал мне и спросил сколько они мне должны за работу. Я ему ответил, что они мне ничего не должны и посоветовал вместо этого написать пост о том, где была уязвимость и что они делают для того, чтобы предотвратить атаки подобные NotPetya  (что действительно могло бы немного поправить репутацию). Святослав сказал, что пост они напишут, – описал ситуацию Шон Таунсенд.

Также спикеру УКА предлагали 500 долларов США за найденную уязвимость, но тот отказался, попросив только опубликовать пост с признанием уязвимости. Но в M.E.Doc этого не сделали. В результате, спустя более недели после закрытия «дыры» Шон Таунсенд сам опубликовал подробную информацию об уязвимости

– Честно говоря, я редко встречаюсь с настолько упорным сопротивлением реальности. Компания, преступное разгильдяйство которой, позволило россиянам провести одну из самых разрушительных кибер-атак современности, по-прежнему не сделала для себя никаких выводов и продолжает работать в том же самом неподражаемом стиле. Если даже после NotPetya их сервер получилось взломать за две трахнутых минуты, то Медок в кассовом аппарате – прямая угроза национальной безопасности, – резюмирует спикер УКА.

InternetUA пытался связаться с представителями M.E.Doc для получения комментария о ситуации, но пока нам это не удалось. Если разработчики предоставят свою позицию и видение ситуации, мы его опубликуем отдельно.