Пользователь обнаружил уязвимость в веб-версии Мах. Оказалось, что изображения из личных сообщений по прямой очень длинной ссылке можно найти в открытом доступе и посмотреть неавторизованному на платформе пользователю. Причём при удалении из сообщения в мессенджере ссылка на изображение остаётся активной ещё некоторое время.
Если знать прямой веб-адрес картинки из веб-версии сервиса, её можно открыть без авторизации и без доступа к переписке. Фактически переданная в мессенджере картинка работает как обычная ссылка на хостинг изображений. Любой, у кого есть прямая ссылка на файл, может открыть изображение без входа в аккаунт. Теоретически такие ссылки можно перебирать автоматически — этим могут заниматься боты и парсеры. Пока уязвимость не закрыли.
Если отправить фото кому‑то в переписке или себе в избранное, то можно зайти в веб‑версию Мах, посмотреть код страницы (Ctrl+Shift+C), скопировать ссылку на изображение и открыть без авторизации и доступа к переписке на другом ПК.
«Если злоумышленнику известен точный веб‑адрес изображения из веб‑версии Max, он сможет его просмотреть примерно как в случае с сайтами для обмена изображениями, только ссылка несколько длиннее. Авторизация в Max для этого не требуется, как и не требуется быть легитимным получателем данного изображения внутри системы», — пояснили профильные эксперты.
«Например я открыл ссылку в другом браузере, где не авторизован в MAX. Там довольно длинная ссылка, но БОЛЬШАЯ её часть будет одинаковой для всех ваших файлов, и защиты от перебора вроде бы не предусмотрено. Для сравнения в Telegram все личные данные защищены не просто надёжно, а пипец как надёжно. И вишенка на торте, если вы даже удалите изображение из переписки — оно всё равно останется доступно по ссылке без авторизации, как минимум на неделю точно, больше не проверял. Обращаюсь к разработчикам этого аналога всего и вся — ИСПРАВЬТЕ ЭТО НЕДОРАЗУМЕНИЕ!», — написал пользователь 5time.
А кто то за этот защищённый месенджер так ручался, так ручался и организации какие то тоже ручались.
Это сообщение отредактировал Crocodile108 - 6 мар 2026 в 11:04
"по прямой очень длинной ссылке" - ну и чем это опаснее "непрямой" ссылки? Её же никто не видит и не имеет возможности скопировать, кроме хозяина. Заемали "макины хацкеры". Поняли мы - макс говно, использовать нельзя, вы лучше в говно наступите, чем макс использовать будете. По-ня-ли! Не будьте как веганы!!!
Понятно, значит будете как веганы. ОК ))
Это сообщение отредактировал ELEA - 6 мар 2026 в 11:12
А кто то за этот защищённый месенджер так ручался, так ручался.
Ой, да я вас умоляю! Они даже функционал не смогли скопировать с телеги полностью. О какой безопасности может идти речь? Мошенников у них в МАХе не будет. Ага! Мне уже ТРИ раза звонили по поводу замены домофона! Вчера коллеге по работе по поводу посылки (ессно никакой посылки он не заказывал) и ессно код из СМС просят! В телеграмме мне за много лет НИ РАЗУ не звонили. В Ватсапе было дело, лет 5 назад и пару раз всего.
"по прямой очень длинной ссылке" - ну и чем это опаснее "непрямой" ссылки? Её же никто не видит и не имеет возможности скопировать, кроме хозяина. Заемали "макины хацкеры". Поняли мы - макс говно, использовать нельзя, вы лучше в говно наступите, чем макс использовать будете. По-ня-ли! Не будьте как веганы!!!
Причем то что они называют длинной ссылкой это хэш пользователя, который можно узнать только из аккаунта
Размещено через приложение ЯПлакалъ
Кроме авторитетного «бля буду», еще гарантии сквозного шифрования и заплаток на дырках уязвимости в официальных пресс-релизах были/будут/ожидаются (нужное подчеркнуть)?!
Обращаюсь к разработчикам этого аналога всего и вся — ИСПРАВЬТЕ ЭТО НЕДОРАЗУМЕНИЕ!»
Да щщас! Его для этого что ли делали, чтобы ты мог фотки безпалева отправлять?!!!! Ну глянет товарищ майор на матильду твоей благоверной - подумаешь! Чё жадный-то такой?
справедливости ради, что бы получить ссылку на изображение нужно иметь доступ к самому изображению, в этом случае можно скриншот сделать и отправить на другой комп , нахер тога ссыль нужна.
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
Они даже функционал не смогли скопировать с телеги полностью. О какой безопасности может идти речь? Мошенников у них в МАХе не будет. Ага! Мне уже ТРИ раза звонили по поводу замены домофона! Вчера коллеге по работе по поводу посылки (ессно никакой посылки он не заказывал) и ессно код из СМС просят! В телеграмме мне за много лет НИ РАЗУ не звонили. В Ватсапе было дело, лет 5 назад и пару раз всего.
yaplakal.com