Пользователь с сайта «Пикабу» опубликовал описание найденной в российском мессенджере Max крупной уязвимости. Речь идёт о браузерной версии приложения. Посторонние могут получить доступ к изображениям, которые пользователи пересылают друг другу в персональной переписке. На каждое изображение ведёт очень длинная ссылка, и она работает даже без авторизации в мессенджере. Если изображение будет удалено из переписки, ссылка продолжит работать на протяжении некоторого времени.

Таким образом, можно сказать, что изображения внутри мессенджера Max представляют собой аналог ссылок на хостинг картинок. Казалось бы, опасности это не представляет, поскольку эти ссылки недоступны посторонним. Однако для подбора этих ссылок могут применяться боты и парсеры, которые выполняют работу автоматически.

Изображение: Max

Отправив изображение собеседнику в чате или себе в «Избранное», после этого можно открыть Max в браузере, получить доступ к коду страницы при помощи сочетания клавиш Ctrl+Shift+C, найти эту ссылку, скопировать и получить доступ к изображению с любого устройства без авторизации в мессенджере.

Сделавший открытие пользователь пишет, что хотя ссылка длинная, для всех файлов одного и того же пользователя значительная часть этой ссылки всегда одинаковая, причём защиты от перебора не видно. В качестве сравнения приводится мессенджер Telegram, где защита персональных данных значительно более надёжная.