Найти в Дзене
Бизнес-архитектор: Финансы, Путешествия и Роботы
4 подписчика

⚠️ Max мессенджер: корпоративные данные утекают тихо и красиво

1 мин
Пока бизнес массово переходит на Max — в чатах летят скриншоты договоров, фото актов, снимки экранов с цифрами, фотографии рабочих документов — обнаружилась интересная особенность веб-версии. Любой файл-изображение, отправленный в чат, доступен по прямой ссылке без авторизации. Механика простая: отправил фото → открыл веб-версию → скопировал ссылку из кода страницы → файл открывается на любом устройстве без входа в аккаунт. Не нужно быть участником переписки. Не нужно быть зарегистрированным в Max вообще. Теперь про корпоративный контекст. Что сейчас гуляет по рабочим чатам в Max: — скриншоты из 1С и CRM — фото подписанных договоров и актов — снимки экрана с финансовыми показателями — фотографии со встреч, где на флипчарте написаны цифры Всё это теперь потенциально доступно по прямой ссылке. И ещё один нюанс: большая часть URL у всех файлов одинакова, а защиты от перебора нет. То есть не только те, кому отправили ссылку, но и боты, парсящие диапазон адресов. Бонус: удалили файл из

⚠️ Max мессенджер: корпоративные данные утекают тихо и красиво

Пока бизнес массово переходит на Max — в чатах летят скриншоты договоров, фото актов, снимки экранов с цифрами, фотографии рабочих документов — обнаружилась интересная особенность веб-версии.

Любой файл-изображение, отправленный в чат, доступен по прямой ссылке без авторизации.

Механика простая: отправил фото → открыл веб-версию → скопировал ссылку из кода страницы → файл открывается на любом устройстве без входа в аккаунт. Не нужно быть участником переписки. Не нужно быть зарегистрированным в Max вообще.

Теперь про корпоративный контекст. Что сейчас гуляет по рабочим чатам в Max:

— скриншоты из 1С и CRM

— фото подписанных договоров и актов

— снимки экрана с финансовыми показателями

— фотографии со встреч, где на флипчарте написаны цифры

Всё это теперь потенциально доступно по прямой ссылке. И ещё один нюанс: большая часть URL у всех файлов одинакова, а защиты от перебора нет. То есть не только те, кому отправили ссылку, но и боты, парсящие диапазон адресов.

Бонус: удалили файл из переписки — ссылка живёт ещё минимум неделю.

Хабр воспроизвёл баг и опубликовал рабочую ссылку в статье. Пресс-служба Max в ответ сообщила, что всё в порядке.

Max с 1 сентября обязателен к предустановке на все устройства. Миграция корпоративных пользователей идёт активно. Патча нет.

Если вы переводите команду на Max — пока стоит договориться: никаких документов и скриншотов с бизнес-данными через веб-версию. Мобильное приложение проблема не затрагивает, только веб.

→ Источник: Хабр

#безопасность #Max #корпоративнаябезопасность #мессенджеры