разработка
•
•
488 просмотров
Фото из личных сообщений в MAX доступны без авторизации
Фото из личных сообщений в MAX доступны без авторизации 🔓
Некоторые уже читали, что фото в Максе, которые вы пересылаете в личных сообщениях, дескать, доступны просто по ссылке и без какой-либо авторизации.
Камрад из чЯтика проверил и… всё подтвердилось!
Как это работает: в веб-версии MAX достаточно открыть код страницы, скопировать прямую ссылку на картинку — и она откроется в любом браузере, без входа в аккаунт. Фактически фото хранятся как обычные файлы на хостинге 🤷
Что ещё хуже — даже если удалить фото из переписки, ссылка продолжает работать ещё какое-то время 🫨
В пресс-службе MAX заявили, что ссылку «нельзя подобрать или сгенерировать». (Хорошо опять вбросом не назвали, как вчера 🥴)
Но автор находки утверждает, что большая часть URL одинакова для всех файлов и защиты от перебора не видно 👀
А теперь представьте, что вы пользуетесь бесплатными VPN, которые сами по себе могут перехватывать трафик.
И получается шикарно: ваши личные фото потенциально доступны по ссылке, а ваш трафик — потенциально виден третьим лицам.
А что дальше? Да хоть шантаж интимными фото, хоть корпоративный шпионаж через слитые документы 🫠
Мой совет (который вы не просили): пока уязвимость не закрыта:
— Не отправляйте чувствительные фото и документы через MAX
— Особенно через веб-версию
— Не используйте бесплатные VPN при работе с любыми мессенджерами
Некоторые уже читали, что фото в Максе, которые вы пересылаете в личных сообщениях, дескать, доступны просто по ссылке и без какой-либо авторизации.
Камрад из чЯтика проверил и… всё подтвердилось!
Как это работает: в веб-версии MAX достаточно открыть код страницы, скопировать прямую ссылку на картинку — и она откроется в любом браузере, без входа в аккаунт. Фактически фото хранятся как обычные файлы на хостинге 🤷
Что ещё хуже — даже если удалить фото из переписки, ссылка продолжает работать ещё какое-то время 🫨
В пресс-службе MAX заявили, что ссылку «нельзя подобрать или сгенерировать». (Хорошо опять вбросом не назвали, как вчера 🥴)
Но автор находки утверждает, что большая часть URL одинакова для всех файлов и защиты от перебора не видно 👀
А теперь представьте, что вы пользуетесь бесплатными VPN, которые сами по себе могут перехватывать трафик.
И получается шикарно: ваши личные фото потенциально доступны по ссылке, а ваш трафик — потенциально виден третьим лицам.
А что дальше? Да хоть шантаж интимными фото, хоть корпоративный шпионаж через слитые документы 🫠
Мой совет (который вы не просили): пока уязвимость не закрыта:
— Не отправляйте чувствительные фото и документы через MAX
— Особенно через веб-версию
— Не используйте бесплатные VPN при работе с любыми мессенджерами
#MAX
#Макс
#Уязвимость
#Приватность
#VPN
#ИнформационнаяБезопасность
#Мессенджеры
Понравился пост?
Обсуди его в Telegram-канале!
Обсуждение
Комментарии доступны через Telegram. Для участия в обсуждении нужен аккаунт Telegram.
Поделиться: Telegram
