В Max обнаружена брешь в безопасности. Фотографии, пересылаемые в личных сообщениях, оказались доступными по ссылке.
Хорошая новость - методом подбора адрес ссылки вычислить практически нереально.
Плохая, если злоумышленнику известен точный веб-адрес изображения из веб-версии Max, он сможет его просмотреть примерно как в случае с сайтами для обмена изображениями, только ссылка несколько длиннее. Авторизация в Max для этого не требуется, как и не требуется быть легитимным получателем данного изображения внутри системы.
До устранения уязвимости мы считаем разумным воздержаться от пересылки через Max любых изображений, которые могут содержать медицинскую или иную тайну, фото паспорта и банковских карт, а также фотографий листочков с логинами и паролями, т.к. если ссылка на данные персональные данные всплывет где-то в сети, злоумышленник сможет просмотреть содержимое фото или файла без авторизации.
Увы, по ссылке можно получить доступ и к фотографиям, пересылаемым в личных сообщениях в VK.
