Пользователь под ником sansmaster на «Хабре» обратил внимание на особенность веб-версии мессенджера MAX, которая вызвала оживлённое обсуждение. После входа в аккаунт через web.max.ru браузер сохраняет токен сессии в локальном хранилище. Извлечь его можно через консоль разработчика, а затем использовать на другом компьютере или в другом браузере.
При перезагрузке страницы веб-версия открывается под той же учётной записью без запроса пароля, СМС-кода или QR-сканирования. Автор публикации подчеркнул: это не взлом и не уязвимость, а штатный механизм работы многих веб-сервисов. Однако пользователи удивились, насколько легко можно добраться до токена через DevTools.
Но есть важное ограничение: для переноса сессии злоумышленнику нужен физический доступ к устройству или браузеру жертвы с активной сессией MAX. Если пользователь выйдет из аккаунта или завершит сессию через настройки, токен станет недействительным на всех устройствах.