8

Хакеры не обошли защиту в мессенджере MAX: фото никто не может украсть

Серьезный дефект безопасности обнаружен в российском приложении для обмена сообщениями MAX, дающий возможность посторонним лицам просматривать приватные снимки пользователей. Информацией об этом поделился участник платформы Pikabu под псевдонимом «5time». Ошибка заключается в том, что фотографии, загружаемые в сервис, получают уникальные прямые ссылки. Эти ссылки можно обнаружить, изучая исходный код веб-версии MAX. Более того, значительная часть…

Хакеры не обошли защиту в мессенджере MAX: фото никто не может украсть

Серьезный дефект безопасности обнаружен в российском приложении для обмена сообщениями MAX, дающий возможность посторонним лицам просматривать приватные снимки пользователей. Информацией об этом поделился участник платформы Pikabu под псевдонимом «5time».

Ошибка заключается в том, что фотографии, загружаемые в сервис, получают уникальные прямые ссылки. Эти ссылки можно обнаружить, изучая исходный код веб-версии MAX.

Более того, значительная часть адреса остается неизменной для всех файлов, принадлежащих одному пользователю. Это позволяет злоумышленникам, используя метод перебора, получить доступ ко всем его изображениям.

Ситуация усугубляется тем, что для просмотра снимков по этим ссылкам не требуется никаких разрешений, а удаление фотографий из приложения не стирает их с серверов. В результате, изображения продолжают быть открытыми для всех.

В то же время пресс-служба MAX выступила с опровержением сведений о возможном доступе к конфиденциальным изображениям пользователей.

В Telegram-каналах распространяется дезинформация, якобы исходящая от пользователя Pikabu, касательно фотоматериалов в MAX. Данная информация, представленная как бездоказательный вброс, была опровергнута экспертами в области кибербезопасности, как отмечено в официальном заявлении.

Согласно заявлению, личные фотографии являются недоступными для третьих лиц, за исключением их законного владельца. Доступ посторонних к снимкам возможен исключительно при добровольном согласии владельца, выраженном в предоставлении прямой ссылки. Однако, создание таких ссылок технически невозможно.

Представители пресс-службы подчеркнули, что вся информация, принадлежащая пользователям национального мессенджера, включая фотоконтент, находится под надежной защитой.