На «Пикабу» заметили, что фото из личной переписки в Max можно найти в открытом доступе. В пресс-службе мессенджера это назвали «набросом»

Источник: Пикабу

Фотографии из личной переписки в Max можно обнаружить в открытом доступе, даже не регистрируясь в мессенджере, обратили внимание пользователи «Пикабу».

Когда в личный чат или в папку «Избранное» в мессенджере загружается изображение, для него генерируется статичная гиперссылка. Ее можно найти в коде страницы в веб-версии Max. Эта ссылка открывается с других браузеров и устройств без авторизации в мессенджере, обнаружили пользователи. Более того, фото по ссылке останется в открытом доступе, даже если его удалить из переписки в Max.

«Там довольно длинная ссылка, но большая ее часть будет одинаковой для всех ваших файлов, и защиты от перебора вроде бы не предусмотрено», — пишут на «Пикабу».

В пресс-службе мессенджера назвали сообщения об этой уязвимости «фейком» и «набросом», который опровергается ИБ-экспертами.

«Личные фото недоступны никому, кроме владельца. Другие пользователи могут увидеть фото, только если владелец добровольно поделится ими или ссылкой на них. Ссылку нельзя подобрать или сгенерировать», — цитирует ТАСС заявление пресс-службы Max.

Все данные пользователей мессенджера, что касается и фото, надежно защищены, добавили представители Max.

Обновлено. «Медуза» изучила адреса ссылок, которые генерирует мессенджер Max. Изображения по этим ссылкам действительно доступны без авторизации, а часть адреса у разных изображений совпадает. Однако они содержат различающиеся подстроки длиной не менее 21 символа (даже если речь идет об адресах файлов одного пользователя в одном чате). Получить доступ к таким изображениям простым перебором адресов невозможно. В данном случае «доступ без авторизации» не означает публичного доступа. Подобные адреса с уникальными цифробуквенными кодами используются в веб-разработке очень широко — их обычно применяют для временного хранения крупных файлов на отдельных серверах. Попасть в индекс поисковиков такие адреса могут только при публикации их в интернете самим пользователем — но не напрямую из серверов мессенджера.

Накануне, 5 марта, технические специалисты обратили внимание, что приложение мессенджера Max проверяет, активно ли у пользователя VPN-соединение на устройстве.

Четыре месяца назад в Max запустили каналы — как в телеграме. Их уже 150 тысяч, но это не помогло мессенджеру VK стать «убийцей» главного конкурента Аудитория каналов в Max в десятки раз меньше

На «Пикабу» заметили, что фото из личной переписки в Max можно найти в открытом доступе. В пресс-службе мессенджера это назвали «набросом»

{{ header_title }}

{{ title }} {{ second_title }}

{{ title }} {{ second_title }}

{{ title }} {{ second_title }}

{{ title }} {{ second_title }}

{{ title }} {{ second_title }}

{{ title }} {{ second_title }}

{{ title }} {{ second_title }}

{{ title }} {{ second_title }}

{{ title }} {{ second_title }}

{{ title }} {{ second_title }}

{{ title }} {{ second_title }}

{{#is_light}}{{ title }} {{ second_title }}{{/is_light}}{{^is_light}}{{ title }} {{ second_title }}{{/is_light}}

{{ title }}

{{ title }}

{{ title }}

{{ title }} {{ second_title }}

{{ title }}

{{ second_title }}

На «Пикабу» заметили, что фото из личной переписки в Max можно найти в открытом доступе. В пресс-службе мессенджера это назвали «набросом»

{{{ alt }}}

{{ title }} {{ second_title }}

{{ title }} {{ second_title }}

{{ title }} {{ second_title }}

{{ title }} {{ second_title }}

{{ title }} {{ second_title }}

{{ title }} {{ second_title }}

{{ title }} {{ second_title }}

{{ title }} {{ second_title }}

{{ title }} {{ second_title }}

{{ title }} {{ second_title }}

{{ title }} {{ second_title }}

{{#is_light}}{{ title }} {{ second_title }}{{/is_light}}{{^is_light}}{{ title }} {{ second_title }}{{/is_light}}

{{ title }}

{{ title }}

{{ title }}

{{ title }} {{ second_title }}

{{ title }}

{{ second_title }}