Ваши личные фото в общем доступе: в мессенджере MAX нашли новую уязвимость

Аналогичная проблема была в соцсети «ВКонтакте».

В российском мессенджере MAX выявлена серьезная уязвимость, позволяющая злоумышленникам получать доступ к личным фотографиям пользователей. Об этом рассказал на Pikabu пользователь под ником «5time».

Суть проблемы заключается в том, что загруженные в мессенджер изображения получают прямые URL-адреса. Их можно легко извлечь через просмотр кода страницы в веб-версии MAX.

При этом большая часть адреса остается одинаковой для всех файлов конкретного пользователя, что дает злоумышленникам возможность с помощью перебора получить доступ ко всем его фотографиям.

Вишенка на торте — для просмотра фотографий по таким адресам не нужна авторизация, а их удаление из приложения не приводит к удалению с серверов, поэтому изображения продолжают оставаться общедоступными.

Команда мессенджера MAX пока никак не комментировала найденную уязвимость. Напомним, что аналогичная дыра раньше была и в VK.

То, что здесь не публикуют. В Телеграм▌
id·220837·20260306_0940