Пользователь под ником 5time с портала pikabu обнаружил уязвимость в веб-версии Мах. Оказалось, что изображения из личных сообщений по прямой и даже не особо длинной ссылке можно найти в открытом доступе и посмотреть неавторизованному на платформе пользователю. Причём при удалении из сообщения в мессенджере ссылка на изображение остаётся активной ещё некоторое время.
Если знать прямой веб-адрес картинки из веб-версии сервиса, её можно открыть без авторизации и без доступа к переписке. Фактически переданная в мессенджере картинка работает как обычная ссылка на хостинг изображений. Любой, у кого есть прямая ссылка на файл, может открыть изображение без входа в аккаунт. Теоретически такие ссылки можно перебирать автоматически — этим могут заниматься боты и парсеры. Пока уязвимость не закрыли.
Если отправить фото кому‑то в переписке или себе в избранное, то можно зайти в веб‑версию Мах, посмотреть код страницы (Ctrl+Shift+C), скопировать ссылку на изображение и открыть без авторизации и доступа к переписке на другом ПК.
«Если злоумышленнику известен точный веб‑адрес изображения из веб‑версии Max, он сможет его просмотреть примерно как в случае с сайтами для обмена изображениями, только ссылка несколько длиннее. Авторизация в Max для этого не требуется, как и не требуется быть легитимным получателем данного изображения внутри системы», — пояснили профильные эксперты.
«Например я открыл ссылку в другом браузере, где не авторизован в MAX. Там довольно длинная ссылка, но БОЛЬШАЯ её часть будет одинаковой для всех ваших файлов, и защиты от перебора вроде бы не предусмотрено. Для сравнения в Telegram все личные данные защищены не просто надёжно, а пипец как надёжно. И вишенка на торте, если вы даже удалите изображение из переписки — оно всё равно останется доступно по ссылке без авторизации, как минимум на неделю точно, больше не проверял. Обращаюсь к разработчикам этого аналога всего и вся — ИСПРАВЬТЕ ЭТО НЕДОРАЗУМЕНИЕ!», — написал пользователь 5time.
Проверка подтвердила, что это проблема есть. Пример ссылки:
В пресс-службе Max сообщили Хабру, что личные изображения от пользователей недоступны никому, кроме владельца аккаунта. По заверению экспертов мессенджера по ИБ, другие пользователи могут увидеть фото, только если владелец добровольно поделится ими или ссылкой на них. Также ссылку нельзя подобрать или сгенерировать.
В телеграм‑каналах распространяется фейк от пользователя Пикабу о фото в МАХ. Это очередной наброс без подтверждений, который опровергли эксперты по кибербезопасности.
Личные фото недоступны никому, кроме владельца. Другие пользователи могут увидеть фото только если владелец добровольно поделится ими или ссылкой на них. Ссылку нельзя подобрать или сгенерировать.
Все данные пользователей нацмессенджера, включая фото, надёжно защищены.
Примечательно, что в Архиве Интернета есть уже много примеров таких картинок.
