После заявления Max, что ссылки на фото нельзя подобрать или сгенерировать, в сети нашли контент из мессенджера

После заявления пресс-службы Max, что ссылки на фотографии и картинки из мессенджера нельзя подобрать или сгенерировать, пользователи Хабра смогли найти в сети различные файлы с контентом пользователей нацсервиса. По большей части это стандартные картинки с логотипами (иконками) открытых каналов, а не контент из личных сообщений пользователей. Но в сети также обнаружили и изображения и фотографии, которые выкладывались в эти каналы, а ещё просто фотографии, которые, вероятно, присылали пользователи.

Пояснение из Max:

В телеграм‑каналах распространяется фейк от пользователя одного развлекательного сайта о фото в МАХ. Это очередной наброс без подтверждений, который опровергли эксперты по кибербезопасности.

Личные фото недоступны никому, кроме владельца. Другие пользователи могут увидеть фото только если владелец добровольно поделится ими или ссылкой на них. Ссылку нельзя подобрать или сгенерировать.

Все данные пользователей нацмессенджера, включая фото, надёжно защищены.

Оказалось, что ссылки и сами картинки остаются доступными после того, как пользователь удалил картинку из сообщения в мессенджере. Это связано с необходимостью соблюдения требования российского законодательства по хранению данных. Доступ к серверам с картинками открытый, нет никаких блокировок по перебору и ограничений для возможности скачивания по ключам и маскам.

В ссылке на ресурс i.oneme.ru/i?r находится вариация base64, кодирующая запись из трёх полей:

i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2NotAeTcpgsiX47b41tnBHgzh5D1siXO-fczjFQyKnywu1z

144 бита - заголовок непонятного назначения;

128 бит - идентификатор картинки (должно быть достаточно чтобы гарантировать невозможность перебор);

128 бит - идентификатор пользователя (ИД чата, он узнается отправкой одной картинку пользователю и потом постоянен).

хабр