Пользователь обнаружил уязвимость в веб-версии Мах: изображения из ЛС можно найти в открытом доступе по прямой ссылке

Пользователь под ником 5time с портала pikabu обнаружил уязвимость в веб-версии Мах. Оказалось, что изображения из личных сообщений по прямой и даже не особо длинной ссылке можно найти в открытом доступе и посмотреть неавторизованному на платформе пользователю. Причём при удалении из сообщения в мессенджере ссылка на изображение остаётся активной ещё некоторое время.

Если знать прямой веб-адрес картинки из веб-версии сервиса, её можно открыть без авторизации и без доступа к переписке. Фактически переданная в мессенджере картинка работает как обычная ссылка на хостинг изображений. Любой, у кого есть прямая ссылка на файл, может открыть изображение без входа в аккаунт. Теоретически такие ссылки можно перебирать автоматически — этим могут заниматься боты и парсеры. Пока уязвимость не закрыли.

Если отправить фото кому‑то в переписке или себе в избранное, то можно зайти в веб‑версию Мах, посмотреть код страницы (Ctrl+Shift+C), скопировать ссылку на изображение и открыть без авторизации и доступа к переписке на другом ПК.

«Если злоумышленнику известен точный веб‑адрес изображения из веб‑версии Max, он сможет его просмотреть примерно как в случае с сайтами для обмена изображениями, только ссылка несколько длиннее. Авторизация в Max для этого не требуется, как и не требуется быть легитимным получателем данного изображения внутри системы», — пояснили профильные эксперты.

«Например я открыл ссылку в другом браузере, где не авторизован в MAX. Там довольно длинная ссылка, но БОЛЬШАЯ её часть будет одинаковой для всех ваших файлов, и защиты от перебора вроде бы не предусмотрено. Для сравнения в Telegram все личные данные защищены не просто надёжно, а пипец как надёжно. И вишенка на торте, если вы даже удалите изображение из переписки —