В пресс-службе Max сообщили Хабру, что личные изображения от пользователей недоступны никому, кроме владельца аккаунта. По заверению экспертов мессенджера по ИБ, другие пользователи могут увидеть фото, только если владелец добровольно поделится ими или ссылкой на них. Также ссылку нельзя подобрать или сгенерировать.
В Хабр заметили, что ссылка и сама картинка остаются доступными после того, как пользователь удалил картинку из сообщения в мессенджере. Это связано с необходимостью соблюдения требования российского законодательства по хранению данных.
В телеграм‑каналах распространяется фейк от пользователя Пикабу о фото в МАХ. Это очередной наброс без подтверждений, который опровергли эксперты по кибербезопасности.
Личные фото недоступны никому, кроме владельца. Другие пользователи могут увидеть фото только если владелец добровольно поделится ими или ссылкой на них. Ссылку нельзя подобрать или сгенерировать.
Все данные пользователей нацмессенджера, включая фото, надёжно защищены.
Пример трёх ссылок в Max на разные картинки у одного пользователя:
Ранее пользователь под ником 5time с портала pikabu обнаружил уязвимость в веб-версии Мах. Оказалось, что изображения из личных сообщений по прямой и даже не особо длинной ссылке можно найти в открытом доступе и посмотреть неавторизованному на платформе пользователю. Причём при удалении из сообщения в мессенджере ссылка на изображение остаётся активной ещё некоторое время.
Если отправить фото кому‑то в переписке или себе в избранное, то можно зайти в веб‑версию Мах, посмотреть код страницы (Ctrl+Shift+C), скопировать ссылку на изображение и открыть без авторизации и доступа к переписке на другом ПК.
Примечательно, что в Архиве Интернета есть уже много примеров таких картинок.
