Ваши личные фото из Max могут смотреть ПОСТОРОННИЕ ЛЮДИ — в мессенджере обнаружили серьёзную дыру: изображения, отправленные в личных сообщениях, фактически лежат в открытом доступе.
Если знать прямой веб-адрес картинки из веб-версии сервиса, её можно открыть без авторизации и без доступа к переписке. Фактически пикча работает как обычная ссылка на хостинг изображений.
Что это означает:
— Любой, у кого есть прямая ссылка на файл, может открыть изображение без входа в аккаунт;
— Теоретически такие ссылки можно перебирать автоматически — этим могут заниматься боты и парсеры;
— Под удар попадают фотографии документов, банковских карт, медицинских справок и любых личных снимков.
Пока уязвимость не закрыли, лучше вообще не отправлять через Max ничего чувствительного: паспорта, карты, документы и любые фото с личными данными.
Ни дня без уязвимостей MAX.
