Кому довірити свою пошту: рейтинг безпеки популярних поштових сервісів

Аналітичний центр компанії Falcongaze вже порівнював месенджери, хмарні сховища і соціальні мережі. Дійшла черга і до пошти. Який поштовий сервіс – Gmail, Yandex.Почта, Mail.ru або Yahoo Mail – найзручніший і безпечний? Щоб відповісти на це питання, ми проаналізували їх функціонал і репутацію. Новини про збої, витоки, фішинг – нічого не пройшло повз увагу наших фахівців.

4 місце – Yahoo Mail

Компанія запустила поштовий сервіс 1997 року. На початку 2000-х Yahoo Mail виросла до десятків мільйонів клієнтів. До грудня 2011 поштою користувалися 281 мільйон чоловік, що на той час було третім результатом в світі.

У 2016 році у Yahoo Mail відбулося два гігантських витоки, в яких було злито 1,5 мільярда облікових записів. Здавалося б, кількість злитого – не саме вражаюче в цій історії, однак в жовтні 2017 року компанія Yahoo оновила своє попереднє повідомлення, з чого випливає, що скомпрометовано більш ніж 3,5 мільярда акаунтів.

Хакери вкрали у користувачів персональну інформацію, хешовані паролі, секретні питання і відповіді. Протягом кількох років злочинці могли заходити в скомпрометовані акаунти. До того ж, ненадійний Yahoo! Mail заблокували в Конгресі США, тому що фільтри сервісу пропускали більше фішингових повідомлень, ніж фільтри інших поштових служб.

Хто вкрав всі ці масиви даних, як відбувались вторгнення – це залишилось таємницею. Відомо лише, що інциденти не пов'язані між собою. У першому витоку, що скомпрометував 500 мільйонів акаунтів, компанія звинуватила хакерів, що «діяли за підтримки однієї з держав». У другому – 3 мільярди злитих акаунтів — «невідому третю сторону». Щоб хоч якось згладити наслідки, була створена сторінка-керівництво для постраждалих. Спільна робота піарників і технічної підтримки допомогла зупинити значний відтік клієнтів.

Хакери викрали у користувачів персональну інформацію, хешовані паролі, секретні питання і відповіді. Протягом кількох років злочинці могли заходити в скомпрометовані акаунти. До того ж, ненадійний Yahoo! Mail заблокували в Конгресі США, тому що фільтри сервісу пропускали більше фішингових повідомлень, ніж фільтри інших поштових служб.

Чутки про витоки збили ціну компанії. Початкова вартість угоди з Verizon становила $4,8 млрд, але після появи інформації про зломи Yahoo знецінилася на $350 млн. Хоча на рубежі тисячоліття компанію оцінювали в $100 млрд.

В період особливої вразливості, в 2015 році, Yahoo Mail отримала двухфакторну аутентификацію. При такому методі захисту для входу в аккаунт вводиться додатковий код, який відправляється користувачеві SMS-повідомленням або генерується в додатку. Бажання залишитися на плаву підтверджує і участь в програмі Bug Bounty, в якій Yahoo виплатила премію в 14000 доларів за виявлення уразливості в ImageMagick, що дозволяє викрадати графічні файли з електронної пошти.

Не забула компанія і жертв витоку 2013 року. У жовтні 2018 року з'явилася інформація, що Yahoo виплатить $50 млн постраждалим від витоку даних. Щоб отримати компенсацію потрібно всього лише довести, що ваші персональні дані дійсно були вкрадені.

У Yahoo Mail є приємні фішки. Наприклад, такого неосяжного сховища вхідних повідомлень – 1 ТБ!, немає в жодного іншого поштового сервісу. А в грудні 2017 року сервіс порадував оновленням, що зменшило кількість реклами. Ми віддаємо Yahoo Mail 4 місце.

3 місце – Mail.ru

Ресурс Mail.ru з'явився на рік пізніше ніж Yahoo, в 1998 став першим поштовим сервісом з російськомовним інтерфейсом. Щомісячна аудиторія Mail.ru, за даними компанії маркетингових досліджень TNS, - понад 25 мільйонів користувачів. Mail.ru Group часто лаяли за настирливе поширення додаткових ресурсів, а їх пошту – за погану роботу антиспаму.

Так, браузер «Аміго» поширювався в встановлюваних пакетах інших «мейлівських» продуктів – користувачі не помічали його і погоджувалися на встановлення. Також Mail.ru Group маскували свій браузер під файли інших додатків. Ворожість посилював непростий процес видалення «Аміго» - в системі запускався фоновий процес, який контролював видалення софту. Якщо спробувати видалити браузер, він автоматично встановлюється знову – доводилося змінювати системні налаштування Windows.

У 2014 р до Роскомнадзору, а також до керівництва компаній Mail.ru Group і Yandex було направлено відкриту петиція з вимогою застосувати санкції до компаній, які створюють вірусне ПЗ, що самостійно встановлюється. Під тиском користувачів компанія відкрила сайт для скарг і зв'язок з технічною підтримкою, але тільки в 2016.

Mail.ru – лідер в СНД і шостий у всьому світі сервіс за кількістю клієнтів, тому її люблять спамери всіх видів. У 2000-х пошту лаяли за роботу антиспам фільтрів. Тому компанія вступила у війну з небажаними повідомленнями і навіть перестаралася в якийсь момент. У 2014 на «Хабрахабр» з'явився запис про магічні алгоритми антиспаму. Виявилося, що Mail.ru посилала домени чесних відправників до чорного списку.

Ще в нульових компанія розуміла, що якщо не зупинити тонни спаму, то можна попрощатися з лідерством. Першим етапом боротьби став Антиспам Касперського в парі з Real-time blackhole list – списком IP-адрес, пов'язаних зі спамерами. На перших порах кількість небажаних листів знизилась, але система була інертною і потребувала оновлень. Тоді компанія почала розробляти власні інструменти фільтрації – так з'явився Mail.Ru Anti-Spam Daemon. Система розширюється і ускладнюється, адже за інформацією на 2016 рік, вона повинна перевіряти 350 тисяч повідомлень за хвилину.

Скомпрометованих паролів Mail.ru значно менше ніж сотні мільйонів, але все ж неприємність трапилась. Вересень 2014 увійшов в історію як місяць тотального зливу паролів для сервісів електронної пошти, серед яких засвітилися 4,7 мільйона даних користувачів Mail.ru. Варто відзначити, що це була не цілеспрямована атака, а результат довгого збору скомпрометованих акаунтів. У прес-службі Mail.ru повідомили, що понад 95% акаунтів «обмежені у відправці пошти, а їх власникам ми вже давно рекомендуємо змінити пароль». Щоб злочинці не скористалися такими базами, передбачена двофакторна аутентифікація.

Компанія приймає участь у програмі Bug Bounty. Так, на «Хакері» був описаний випадок, коли шукач багів натрапив на ланцюжок вразливостей в Mail.Ru для Android, яка приводила до повної компрометації вмісту пошти та SD-карти. Завдяки Bug Bounty як мінімум однією вразливістю хакери не скористаються – за це ставимо плюс Mail.Ru.

20 червня 2018 р вперше за 10 років пошта Mail.Ru представила оновлення сервісу: змінився логотип і додалися нові функції, такі як «розумні» відповіді, можливість переказу грошей, планувальник листів та ін. Однак тінь старих проблем все ще затуляє позитивні починання, тому ставимо Mail.Ru на 3 місце.

2 место — Yandex.Почта

Конкурент Mail.Ru – Yandex.Почта – активно працює на ринку СНД і за кордоном. У червні 2012 року, за даними ComScore, електронна пошта компанії Yandex виявилась самою швидкою в Європі і увійшла в топ-5 за популярністю. Остання позначка на сайті Яндекс.Статистика свідчить, що в жовтні 2018 місячна аудиторія сервісу склала 20 мільйонів чоловік.

У компанії був свій «Аміго» - горезвісний Yandex.Бар. Він викликав ті ж проблеми і роздратування, що і «мейловский» продукт. Yandex.Бар – розширення, яке з'являлося в вашому браузері, і часто досить несподівано. Адже встановлювалося воно, як і «Аміго», непомітно, в комплекті з іншим софтом. Прибрати такий подарунок стало тяжким випробуванням для недосвідчених користувачів.

Yandex.Почта засвітилася в масовому зливі вересня 2014 року – скомпрометованих паролів нарахували аж 1,26 мільйона. Прес-служба компанії заявила, що про 85% акаунтів з цієї бази їм відомо: «Ми попереджали їх власників і пропонували їм змінити паролв, але вони цього не зробили. Це означає, що такі акаунти, швидше за все, покинуті або створені роботами».

Для захисту від бажаючих скористатися скомпрометованими паролями передбачена двофакторна аутентифікація за допомогою Yandex.Ключ – додатки для Android і iOS, яка генерує нові одноразові паролі. Для розпізнавання спаму Yandex.Почта використовує сервіс «Спамоборона», листи на наявність вірусів перевіряє Dr.Web. Протокол сервісу захищений: з недавнім редизайном – користувачі перейшли на захищене з'єднання HTTPS.

У пасив пошти ми віднесемо періодичні новини про збої. У 2015 стався більш ніж годинний збій, пов'язаний з внутрішніми проблемами, і пошта була недоступна по всій Росії. В грудні 2016 року раптом перестало працювати відправлення листів.

В актив Yandex заносимо турботу про особистий час користувачів. Служба підтримки пошти навчилася відповідати протягом 3 годин. Прискорити процес вдалося завдяки роботу, який відповідає на типові питання, коли ви заповнюєте форму.

Yandex бере участь в програмі з пошуку вразливостей з виплатою винагород. Розмір нагороди залежить від сервісу, на якому була виявлена вразливість. Сервіси поділяються на дві групи: критичні і всі інші, до критичних відноситься і Yandex.Почта, де за знайдений баг виплачують від 5500 до 17000 рублів.

А в березні 2018 користувачі iOS і Android отримали можливість використовувати поштові скриньки Gmail, Outlook і Mail.RU через додаток Yandex.Почта.

Ми констатуємо, що у пошти не було колосальних зливів і проблем зі спамом, розробники активно займаються її покращенням— тому присуджуємо їй друге місце.

Кращий в нашому рейтинзі – Gmail

У жовтні 2018 поштовий сервіс Gmail що пройшов позначку в 1,5 мільярда активних користувачів. На продукт Google націлені списи шахраїв і хакерів, як на жоден інший ресурс, а 50-70 відсотків повідомлень, одержуваних Gmail, – спам. Доводиться тримати марку і впроваджувати нові технології.

Паролі Gmail періодично з’являються в різних базах: то разом з Yahoo!, то з Mail.ru. У вересневому зливі 2014 було скомпрометовано 5 млн паролів. Щоб незнайомці не влазили в пошту, Gmail радить застосовувати двофакторну аутентифікацію, для якої можна використовувати USB-токен.

У Gmail виникали проблеми з фільтрацією фішингу. У 2016 році експерт з консалтингової компанії SecureState з'ясував, що фільтри для виявлення шкідливих програм у Gmail працюють далеко не завжди. Щоб система не помітила шкідливий макрос в документах Office, досить розділити ключові слова на дві частини. А в травні 2017 Gmail попередив користувачів про фішингову розсилку, замасковану під Google Docs. Розсилка не переводила на підроблену сторінку, але діяла нетипово – всередині справжнього сервісу.

Такі новини затьмарюють репутацію сервісу. Хоч Gmail виявляє 999 шкідливих листів з 1000, цей один все ж просочується. Тому в кінці травня 2017 Google запустила систему раннього виявлення фішингу – це модель машинного навчання, яка вибірково затримує для ретельного аналізу 0,05 відсотка повідомлень. У новій моделі також застосовуються техніки аналізу URL по репутації і схожості.

У згаданому травневому оновленні з'явився інструмент для запобігання втраті даних: якщо користувач пише лист-відповідь, що відсилається за межі домену компанії, система показує попередження. Оповіщення не спрацьовує для одержувачів зі списку контактів або регулярних співрозмовників.

Спецслужби цікавляться користувачами Gmail не менше, ніж фішери. У березні 2016 компанія повідомила, що майже мільйон користувачів пошти – потенційні жертви кібератак урядових хакерів. Тому Gmail відправляє користувачам повідомлення з інструкціями безпеки. Коли обліковий запис Павла Дурова намагалися зламати, він отримав подібне попередження і виклав скріншот в Twitter.

Не секрет, що за користувачами стежать і самі поштові сервіси, які сканують листи для пошуку вірусів і фільтрації спаму. Google також сканував пошту для персоналізації реклами. Ця практика викликала обурення: так, в 2014 році, після судового позову, Google перестав читати листи в освітній версії Google Drive. А в червні 2017 сервіс Gmail перестав сканувати листи для рекламного таргетингу.

Gmail очолює наш рейтинг за своєчасні оновлення безпеки: нові фільтри, попередження про відправку повідомлення про вихід за межі домену та повідомлення для потенційних жертв кібератак. Додамо до цього оновлений в квітні 2018 інтерфейс, який продовжує розвивати концепцію Material Design.