Пользователь обнаружил уязвимость в веб-версии Мах: изображения из ЛС можно найти в открытом доступе по прямой ссылке

Цитата (Modigar @ 6.03.2026 - 11:08)

Цитата (mrTaiga @ 6.03.2026 - 11:06) Теперь злоумышленники могут посмотреть моего смешного кота и показания счетчиков А чо, писюны супруге не посылаешь? И она тити в ответ не шлет? Скучно живете, товарищ.

Да , совсем не беспокоитесь что тащмайор разозлится не подрочивши

Находятся ведь долба*бы, кто установил его.

Цитата (Modigar @ 6.03.2026 - 11:05)

Он еще и инфу про квн сливает товарищу майору (скоро подполковнику) https://habr.com/ru/articles/1006666/

Эту инфу льют и Госуслуги и все банковские приложения.
Не ново.

Вы всё еще не поняли, что Мах это трендовый кликбейт?

Пока, 8 из 10 "разоблачений" это кликбейт на общепринятом функционале.

Вот, картинки в прямом доступе, это жирный косяк. Да.

Цитата (arthur4ik @ 6.03.2026 - 15:31)

Находятся ведь долба*бы, кто установил его.

Скажи, что у тебя не не установлены Госуслуги и банкинг!

Когда станет известно, что это фейк первонахи придут извиняться или в закат ускачут?
Размещено через приложение ЯПлакалъ

Скоро терешковы с родниными примут закон об уголовной ответственности за обнаружение уязвимостей Мах.
Это сообщение отредактировал Poplar8 - 6 мар 2026 в 16:33

Безопасность от макса = безопасность от гранты.
Размещено через приложение ЯПлакалъ

А что вы хотели от нынешних кодеров. Которы только ИИ запросы составлять могут. Я Писал где то, что нет у нас кодеров с умом. А тут еще логику шифрования знать надо. Бюджет освоили. Ща доборовольно принудительно посадят незнающих на говноМАХ. (Его же не переименуют, а то все макс да макс. А это нихуя не на скрепном языке, и нарушает закон). Так что я пока что в Телеге а потом в imo (пока наши долбоебы при власти и до него не докопались)

Цитата (arthur4ik @ 06.03.2026 - 15:31)

Находятся ведь долба*бы, кто установил его.

судя по комметам , - большинство.

так увлечённо обсуждают сорта г
Размещено через приложение ЯПлакалъ

Цитата (NightKnight @ 06.03.2026 - 16:42)

А что вы хотели от нынешних кодеров. Которы только ИИ запросы составлять могут. Я Писал где то, что нет у нас кодеров с умом. А тут еще логику шифрования знать надо. Бюджет освоили. Ща доборовольно принудительно посадят незнающих на говноМАХ. (Его же не переименуют, а то все макс да макс. А это нихуя не на скрепном языке, и нарушает закон). Так что я пока что в Телеге а потом в imo (пока наши долбоебы при власти и до него не докопались)

имо давно блочат.

если в твоей локации пока не трогают , тебе везёт
Размещено через приложение ЯПлакалъ

Тов. Маëр, посмотрите у моей в пизде, кажется, плесень завелась.
Фото в эфире.
Размещено через приложение ЯПлакалъ

Цитата (SLash81 @ 06.03.2026 - 11:21)

И? Нужно ЗНАТЬ ссылку. Если в ссылке несколько десятков символов, то перебирать практически бессмысленно. Да и толку от того, что смог (теоретически) открыть чьё-то фото? А Яндекс-диск с его ссылками чего тогда не ругают? Не зная ссылки, скачать файл оттуда практически нереально.

В Битриксе все это время файлы в таком же виде лежат, в открытом виде, надо только ссылку знать
Размещено через приложение ЯПлакалъ

Это только начало) Ну не можем мы ничего сделать хорошо, пока в нашей стране коррупция и на такие проекты с госбюджетом назначаются свои люди, а не самые талантливые!!! У меня отец был неплохим программистом, работал в Октябрьском трамвайном депо г. Москва в 90х годах. Ему поставили задачу разработать программу, которая бы считала заработок водителя, когда он на линии. Там много нюансов, выходные, праздничные дни, переработки, поломки, пробки и т.д. Он сделал её за зарплату, получил премию и она работала безотказно! Но потом, кто-то решил, что сейчас моего отца не станет и никто кроме него не знает нюансов, надо чтобы своя фирма разработала свою программу. Было выделено до....на бабла на это, перешли на их программу и всегда обращались к бате, то там зависло, то там! Батя помогал конечно, но эти суки, кроме з/п с ним больше никогда не делились!
Размещено через приложение ЯПлакалъ

Максут Шадаев
Сидит, обтекает.
----------------------------
На самом деле нет, ему пох.
Размещено через приложение ЯПлакалъ

Цитата (Modigar @ 06.03.2026 - 11:05)

Он еще и инфу про квн сливает товарищу майору (скоро подполковнику) https://habr.com/ru/articles/1006666/

Офигенный мессенджер
Размещено через приложение ЯПлакалъ

Цитата (Therny @ 6.03.2026 - 10:02)

«Если злоумышленнику известен точный веб‑адрес изображения из веб‑версии Max, он сможет его просмотреть примерно как в случае с сайтами для обмена изображениями, только ссылка несколько длиннее. Авторизация в Max для этого не требуется, как и не требуется быть легитимным получателем данного изображения внутри системы», — пояснили профильные эксперты.

Это конечно дыра, но на фоне шпионства за сетевой доступностью конечного пользователя это так, мелочи, просто форточку не закрыли.

Цитата (Повсикакий @ 06.03.2026 - 11:08)

Самый защищённый говномессенджер!

Кто нибудь объяснит мне, почему этот МаХесенджер разогревает телефон до +55С как никто другой. Я криту майню во время разговора или на спутник сразу разговор дублируется?
Размещено через приложение ЯПлакалъ

Цитата (loredan @ 6.03.2026 - 11:06)

Дескредетировала себя маха.

Маху дала :)))

Цитата (Silicagel @ 6.03.2026 - 15:40)

Цитата (Modigar @ 6.03.2026 - 11:05) Он еще и инфу про квн сливает товарищу майору (скоро подполковнику) https://habr.com/ru/articles/1006666/ Эту инфу льют и Госуслуги и все банковские приложения. Не ново.

Если б товарищу майору по службе сливали, так они мошейникам еще продают все базы... а это уже не хорошо, даже очень плохо...

Цитата

Если знать прямой веб-адрес картинки из веб-версии сервиса

Да хакеры так компьютеры взламывали: Если есть прямой доступ к компьютеру, то можно скачать всю ценную информацию с него.
У меня это мемы разной степени.

Не понимаю хайпа именно этой темы. почему-то про ВК так не возбуждались, даже когда поиск по документам работал и можно было найти хоть сканы паспортов, да и картинки там так хранятся испокон веков (такой же вид ссылки на source). А если про хэши - то попробуйте открыть картинку в диалоге, скопировать ее url и перейти по ней на любом устройстве - естественно она откроется. И если есть доступ к компу, то при умелых руках эту ссылку можно достать из кэша браузера,не имя доступ к вк.

Как хранится кэш, например в тг - не проверял. Возможно также.
Это сообщение отредактировал yus - 6 мар 2026 в 23:49

Цитата (Polkovnik @ 06.03.2026 - 11:13)

справедливости ради, что бы получить ссылку на изображение нужно иметь доступ к самому изображению, в этом случае можно скриншот сделать и отправить на другой комп , нахер тога ссыль нужна.

Перебором можно награбить ссылок
Размещено через приложение ЯПлакалъ

А че, есть что скрывать? Нам от своих (спец служб) скрывать нечего! А если есть, то ты как минимум иноагент, а может и шпион какой...
Это сообщение отредактировал Godz - 7 мар 2026 в 10:33

А зачем этим говном пользоваться ?