🚨 В мессенджере Max нашли серьёзную дыру в безопасности
Фотографии, отправленные в личных сообщениях, оказались фактически публичными.
Если злоумышленник знает точный веб-адрес изображения из веб-версии Max, он может открыть его напрямую — без авторизации и даже без аккаунта. По сути это работает как обычный хостинг картинок: достаточно ссылки, чтобы получить доступ к файлу.
Это означает, что:
— любой человек с прямой ссылкой может посмотреть изображение;
— боты и системы автоматического сбора данных могут пытаться подбирать адреса файлов;
— в теории таким способом можно находить фотографии случайных пользователей.
Ключ в URL состоит из нескольких десятков символов, поэтому полный перебор сложный, но автоматизированные системы способны искать такие файлы массово.
Пока уязвимость не исправлена, лучше не отправлять через Max:
— фото паспорта и банковских карт
— медицинские документы
— фотографии с логинами, паролями или другими чувствительными данными.
И неприятный момент: такая же проблема обнаружена и у изображений, пересылаемых в личных сообщениях VK — их также можно открыть по прямой ссылке без авторизации.
