Добавить в корзинуПозвонить
Найти в Дзене
Эскалатор едет вверх
38 подписчиков

Мессенджер MAX: сообщения не видны, но файлы могут быть доступны по прямой ссылке

1 мин
В сети обсуждают возможную уязвимость в веб-версии мессенджера MAX. По словам пользователей и авторов публикаций, речь идет о доступе к файлам по прямым ссылкам: якобы некоторые изображения и документы, отправленные в личных переписках, можно открыть в браузере без авторизации в самом сервисе. При этом доступ к содержимому чатов не требуется — достаточно знать URL конкретного файла. Сценарий, который описывают в источниках, выглядит так:
файлы, загруженные через веб-версию, получают прямой адрес. Если система не проверяет права доступа при открытии такого адреса, файл может стать доступным всем, кто получил ссылку. Отдельно отмечается риск при предсказуемых или перебираемых ссылках: теоретически это может упростить массовый поиск доступных файлов автоматическими скриптами. Однако для подтверждения этого аспекта нужны технические детали и воспроизводимый пример. Если информация о доступе по ссылке подтвердится, потенциально под угрозой могут оказаться любые чувствительные вложения, кот
Оглавление

В сети обсуждают возможную уязвимость в веб-версии мессенджера MAX. По словам пользователей и авторов публикаций, речь идет о доступе к файлам по прямым ссылкам: якобы некоторые изображения и документы, отправленные в личных переписках, можно открыть в браузере без авторизации в самом сервисе. При этом доступ к содержимому чатов не требуется — достаточно знать URL конкретного файла.

В чем суть проблемы

Сценарий, который описывают в источниках, выглядит так:
файлы, загруженные через веб-версию, получают прямой адрес. Если система не проверяет права доступа при открытии такого адреса, файл может стать доступным всем, кто получил ссылку.

Отдельно отмечается риск при предсказуемых или перебираемых ссылках: теоретически это может упростить массовый поиск доступных файлов автоматическими скриптами. Однако для подтверждения этого аспекта нужны технические детали и воспроизводимый пример.

Какие риски это создает

Если информация о доступе по ссылке подтвердится, потенциально под угрозой могут оказаться любые чувствительные вложения, которые пользователи отправляют в чатах:
сканы документов, фотографии банковских карт, медицинские справки и прочие персональные данные. При этом важно понимать: проблема касается не «взлома переписки», а неправильного контроля доступа к файлам.

Что можно сделать пользователям

Пока ситуация не прояснена официально, разумно соблюдать базовую цифровую гигиену:

  1. Не отправлять через MAX (и любую другую платформу) изображения документов и платежных данных, если это не критично.
  2. Если отправка неизбежна — закрывать часть данных (маскировать номер, серию, CVV, адрес и т. п.).
  3. Проверить, какие файлы уже отправлялись через веб-версию, и при возможности удалить чувствительные вложения.
  4. Включить дополнительные меры защиты аккаунта, если они доступны в приложении.
  5. Следить за официальными комментариями MAX и обновлениями приложения.

Что важно для объективной картины

На данном этапе корректнее говорить о сообщениях пользователей и публикациях, а не о подтвержденном факте: окончательные выводы возможны после реакции разработчиков, воспроизведения проблемы независимыми исследователями или выпуска исправления.