После заявления пресс-службы Max, что ссылки на фотографии и картинки из мессенджера нельзя подобрать или сгенерировать, пользователи Хабра смогли найти в сети различные файлы с контентом пользователей нацсервиса. По большей части это стандартные картинки с логотипами (иконками) открытых каналов, а не контент из личных сообщений пользователей. Но в сети также обнаружили и изображения и фотографии, которые выкладывались в эти каналы, а ещё просто фотографии, которые, вероятно, присылали пользователи.
Пояснение из Max:
В телеграм‑каналах распространяется фейк от пользователя Пикабу о фото в МАХ. Это очередной наброс без подтверждений, который опровергли эксперты по кибербезопасности.
Личные фото недоступны никому, кроме владельца. Другие пользователи могут увидеть фото, только если владелец добровольно поделится ими или ссылкой на них. Ссылку нельзя подобрать или сгенерировать.
Все данные пользователей нацмессенджера, включая фото, надёжно защищены.
Оказалось, что ссылки и сами картинки остаются доступными после того, как пользователь удалил картинку из сообщения в мессенджере. Это связано с необходимостью соблюдения требования российского законодательства по хранению данных. Доступ к серверам с картинками открытый, нет никаких блокировок по перебору и ограничений для возможности скачивания по ключам и маскам.
Пример трёх ссылок в Max на разные картинки у одного пользователя:
В ссылке на ресурс i.oneme.ru/i?r находится вариация base64, кодирующая запись из трёх полей:
i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2NotAeTcpgsiX47b41tnBHgzh5D1siXO-fczjFQyKnywu1z
144 бита — заголовок непонятного назначения;
128 бит — идентификатор картинки (должно быть достаточно, чтобы гарантировать невозможность перебора);
128 бит — идентификатор пользователя (ИД чата, он узнается отправкой одной картинки пользователю и потом постоянен).
В Архиве Интернета есть уже много примеров таких картинок.
Примеры файлов от пользователей:
Анализ данных из этих архивов:
прямая выгрузка с ресурса:
По информации ресурса Securitylab, в таком виде ситуация упирается уже не только в «можно ли подобрать ссылку», а в куда более неприятный вопрос: должна ли приватность личного файла держаться на секретности адреса. Например, организация OWASP (Открытый проект безопасности веб-приложений) относит подобные сценарии к ошибкам контроля доступа. Организация прямо указывает, что сложный или длинный идентификатор может затруднить подбор, но не заменяет серверную проверку прав. Если злоумышленник всё же получил адрес чужого объекта, сервис обязан блокировать доступ, а не надеяться на случайность и длину ссылки.
«Проблема здесь не академическая. Для обычного пользователя разница между „ссылка очень длинная“ и „файл реально защищён“ огромна. В первом случае любая утечка адреса — пересылка через чужой компьютер, журнал веб‑сервера, история браузера или снимок экрана — превращают личное фото в почти публичный объект. Во втором случае сервер повторно проверяет права доступа при каждом открытии файла и не отдаёт картинку постороннему даже с точным адресом. Личная переписка должна работать по второй модели, иначе мессенджер начинает напоминать не защищённый канал, а файловый хостинг с приватной обёрткой», — пояснили в Securitylab.
