Пользователь обнаружил уязвимость в веб-версии Мах: изображения из ЛС можно найти в открытом доступе по прямой ссылке

подождите ещё, скоро всё вообще в открытом доступе окажется

Цитата (Therny @ 6.03.2026 - 11:02)

Пользователь обнаружил уязвимость в веб-версии Мах. Оказалось, что изображения из личных сообщений по прямой очень длинной ссылке можно найти в открытом доступе и посмотреть неавторизованному на платформе пользователю. Причём при удалении из сообщения в мессенджере ссылка на изображение остаётся активной ещё некоторое время.

это не баг а фича
для этого и делалось

Цитата (Dimes79 @ 6.03.2026 - 11:29)

Да, есть такое. Ссылка не требует авторизации. Другое дело, подбор его займет ну очень много времени Там 64 в степени 86

там же не случайный набор символов. Там хеш от чего то. Если вы знаете от чего - посчитаете.

ссылки могут быть украдены троянами на компе или в процессе передачи по сети (хотя это сложно, но тоже не исключено, если приватный ключ серверов скама в посторонние руки попадет) или в случае утечки логов с серверов скама (а логи как правило не шифруются, хранятся годами, и внимания к их защите зачастую меньше, чем к пользовательским данным). На стороне рабочих компов пользователей те ссылки могут логгироваться разным софтом по инициативе админов организации, которые потом тоже с интересом посмотрят ваши фоточки.

Cсылку могут опубликовать намеренно получатели той картинки, если захотят напакостить отправителю. Любое фото, видео, что вы шлете через скаМ, автоматически публикуется в сети без пароля. а дальше, если это фото интересно товарищу майору, отправитель садится по разным статьям за "публичное распространение", не важно, что его там могли увидеть только хакеры и тот майор. Все что выложено в открытый доступ без пароля для наших судов потянет на распространение.
Это сообщение отредактировал alef78 - 6 мар 2026 в 12:27

И в чем тут уязвимость?

А как злоумышленник узнает точный веб адрес?

Цитата (alef78 @ 6.03.2026 - 12:22)

Цитата (Dimes79 @ 6.03.2026 - 11:29) Да, есть такое. Ссылка не требует авторизации. Другое дело, подбор его займет ну очень много времени Там 64 в степени 86 там же не случайный набор символов. Там хеш от чего то. Если вы знаете от чего - посчитаете. ссылки могут быть украдены троянами на компе или в процессе передачи по сети (хотя это сложно, но тоже не исключено, если приватный ключ серверов скама в посторонние руки попадет) или в случае утечки логов с серверов скама (а логи как правило не шифруются, хранятся годами, и внимания к их защите зачастую меньше, чем к пользовательским данным). На стороне рабочих компов пользователей те ссылки могут логгироваться разным софтом по инициативе админов организации, которые потом тоже с интересом посмотрят ваши фоточки. Cсылку могут опубликовать намеренно получатели той картинки, если захотят напакостить отправителю. Любое фото, видео, что вы шлете через скаМ, автоматически публикуется в сети без пароля. а дальше, если это фото интересно товарищу майору, отправитель садится по разным статьям за "публичное распространение", не важно, что его там могли увидеть только хакеры и той майор. Все что выложено в открытый доступ без пароля для наших судов потянет на распространение.

А что помешает трояну или злоумышленнику просто выложить само фото?

Цитата

Теоретически такие ссылки можно перебирать автоматически — этим могут заниматься боты и парсеры.

Я не фанат Макса, но вы хоть теоретически представляете себе масштаб задачи - перебирать такие комбинации?
И всё для чего? Что бы раз в сотню лет может быть найти картинку, которую можно будет как то использовать?
Это сообщение отредактировал YOrick - 6 мар 2026 в 12:27

И даже править не будут. А зачем? ©.

Блокируешь остальное, остаётся из месенджеров макс или смс. Не хочешь - не пользуйся, чо. Это ж пидарасьи методы.
Размещено через приложение ЯПлакалъ

Цитата (Alex666666 @ 6.03.2026 - 12:24)

А что помешает трояну или злоумышленнику просто выложить само фото?

объем трафика.
всякие утилиты слежки за пользователем со стороны некоторых работодателей обычно не снимают его экран 24/7, а вот логгировать все загружаемые им ссылки могут запросто.
также у некоторых организаций выход в интернет через местные прокси, на которые редиректится запрос пользователя по https с ключем организации, та логгирует, и дальше наружу уже шлет нормальный https. Содержимое ссылок никто в здравом уме не логгирует, а сами ссылки - запросто, и дальше имеющий доступ к тем логам сможет пойти поскачивать с сервера скама картинки и файлы по тем ссылкам.

А еще если кинуть кому то в переписке макс какое то изображение запрещенного характера, то это автоматически получается "публичная демонстрация неограниченному кругу лиц посредством средства массовой информации (интернет)"


А вообще эта штука была еще в vk.

Когда появился вк я перестал пользоваться хостингами картинок (помните было такое 20 лет назад)

Потому что я создал закрытый альбом, кидал туда картинки, и прямую ссылку на них вставлял на сайт или форум. И что самое интересное, что да, даже если удалить фотку из альбома, то по ссылке оно продолжало работать бесконечно. У них там видимо безлимитные сервера бесконечные"
Это сообщение отредактировал rok88 - 6 мар 2026 в 12:36

Цитата (YOrick @ 6.03.2026 - 12:27)

Я не фанат Макса, но вы хоть теоретически представляете себе масштаб задачи - перебирать такие комбинации?

может быть O(1), если там хеш от известных / угадываемых данных (а с большой вероятностью так и есть) или если вы просто добыли ту ссылку из кучи разных логов, на стороне пользователя, сервера или проксей, куда она потенциально могла попасть.

Цитата (Alex666666 @ 6.03.2026 - 12:23)

А как злоумышленник узнает точный веб адрес?

А точный не надо, достаточно знать что такая возможность есть, а там начинаем сканить и перебирать что получили, на 10к результатов скан паспорта или важного дока да попадется, а дальше уже сами понимаете

Да вся хвалёная крипта по сути работает на этом-же принципе: просто подбирай секретный ключ к кошельку потолще, и можешь жить в своё удовольствие. Ничего сложного:))

в Мах ответили што это фейк
Размещено через приложение ЯПлакалъ

В Телеграмм, Вацапе так можно было?
Не сарказм, вопрос.

Цитата (step30 @ 6.03.2026 - 12:40)

В Телеграмм, Вацапе так можно было? Не сарказм, вопрос.

В вотсапе стопроцентно нет, там двусторонее шифрование.

А в телеграмме каким образом получить ссылку картинки? А вот в переписке макс проверил работает.


Кстати вообще удобная штука опять же.
Создал в максе отдельный чат где ты и какой нибудь твой второй телефон.

Хочешь вставить 10 картинок в один пост на япе.
Кидаешь 10 картинок в эту переписку. Получаешь десять ссылок.

Вставляешь их все через IMG.
Вообще удобно. Жаль что наверняка потрут эту возможность

я люблю людей) и поэтому фотографирую для них самое прекрасное - мою мохнатую жопу))) нехай любуются))) где вы еще такую красоту увидите?)))) если только в зеркале))))
Это сообщение отредактировал Koive - 6 мар 2026 в 12:44

Цитата (Шульц78 @ 06.03.2026 - 11:08)

Ой, да я вас умоляю! Они даже функционал не смогли скопировать с телеги полностью. О какой безопасности может идти речь? Мошенников у них в МАХе не будет. Ага! Мне уже ТРИ раза звонили по поводу замены домофона! Вчера коллеге по работе по поводу посылки (ессно никакой посылки он не заказывал) и ессно код из СМС просят! В телеграмме мне за много лет НИ РАЗУ не звонили. В Ватсапе было дело, лет 5 назад и пару раз всего.

Ну не знаю. Не знаю. Ни одного звонка от мошеЙников через Макс не было. Может быть я чего-то не так делаю? 🤔
Может Макс надо установить? 🤔
😁😆😅😂
Размещено через приложение ЯПлакалъ

Ну не всем, а только у кого ссылка. А никто и не говорил, что БД шифрована.

можно убрать , а зачем?)) это намеренно оставленный бэкдор , чтобы майор зашел и увидел картиночки не православные и считай , усе , прилип.

Кто польузется софтом Маде ин Россия..тот понимает - насколько еще сырые продукты анализа кода

Цитата (Dikon10 @ 6.03.2026 - 11:05)

Не любой, а только оперативный сотрудник, закреплённый за вашим аккаунтом. Поэтому, не забывайте поздравлять его с днём чекиста, а также 23 февраля и днём конституции. И ему приятно и вам потом зачтется

Записал, хули.
Не забывать поздравлять тащмайора.
А, забыл совсем.... я ж это говно не устанавливал на телефон и не собираюсь.

Цитата (Koive @ 6.03.2026 - 12:43)

я люблю людей) и поэтому фотографирую для них самое прекрасное - мою мохнатую жопу))) нехай любуются))) где вы еще такую красоту увидите?)))) если только в зеркале))))

Ты это, повнимательней.
Вдруг в тащмайорах сидит ара какой-нибудь.
Как воспылает к тебе, устанешь потом отбиваться.

Цитата (mrTaiga @ 6.03.2026 - 11:06)

Теперь злоумышленники могут посмотреть моего смешного кота и показания счетчиков

Это сарказм?

Это не одно и тоже? Например, мне, на другой мессенджер переслали ссылку с вацапа и я её вижу вместе с картинками. Мне даже идти не надо в вацап, юноу?