Пользователь обнаружил уязвимость в веб-версии Мах: изображения из ЛС можно найти в открытом доступе по прямой ссылке

Пользователь обнаружил уязвимость в веб-версии Мах. Оказалось, что изображения из личных сообщений по прямой очень длинной ссылке можно найти в открытом доступе и посмотреть неавторизованному на платформе пользователю. Причём при удалении из сообщения в мессенджере ссылка на изображение остаётся активной ещё некоторое время.

Если знать прямой веб-адрес картинки из веб-версии сервиса, её можно открыть без авторизации и без доступа к переписке. Фактически переданная в мессенджере картинка работает как обычная ссылка на хостинг изображений. Любой, у кого есть прямая ссылка на файл, может открыть изображение без входа в аккаунт. Теоретически такие ссылки можно перебирать автоматически — этим могут заниматься боты и парсеры. Пока уязвимость не закрыли.

Если отправить фото кому‑то в переписке или себе в избранное, то можно зайти в веб‑версию Мах, посмотреть код страницы (Ctrl+Shift+C), скопировать ссылку на изображение и открыть без авторизации и доступа к переписке на другом ПК.

«Если злоумышленнику известен точный веб‑адрес изображения из веб‑версии Max, он сможет его просмотреть примерно как в случае с сайтами для обмена изображениями, только ссылка несколько длиннее. Авторизация в Max для этого не требуется, как и не требуется быть легитимным получателем данного изображения внутри системы», — пояснили профильные эксперты.

«Например я открыл ссылку в другом браузере, где не авторизован в MAX. Там довольно длинная ссылка, но БОЛЬШАЯ её часть будет одинаковой для всех ваших файлов, и защиты от перебора вроде бы не предусмотрено. Для сравнения в Telegram все личные данные защищены не просто надёжно, а пипец как надёжно. И вишенка на торте, если вы даже удалите изображение из переписки — оно всё равно останется доступно по ссылке без авторизации, как минимум на неделю точно, больше не проверял. Обращаюсь к разработчикам этого аналога всего и вся — ИСПРАВЬТЕ ЭТО НЕДОРАЗУМЕНИЕ!», — написал пользователь 5time.

Источник: хабр

ЯП в Мах: https://max.ru/yaplakal

А кто то за этот защищённый месенджер так ручался, так ручался и организации какие то тоже ручались.

Это сообщение отредактировал Crocodile108 - 6.03.2026 - 11:04

Это не для безопасности, а для тотального контроля...

Не любой, а только оперативный сотрудник, закреплённый за вашим аккаунтом.

Поэтому, не забывайте поздравлять его с днём чекиста, а также 23 февраля и днём конституции. И ему приятно и вам потом зачтется

раньше и в вк подобное было

Он еще и инфу про квн сливает товарищу майору (скоро подполковнику)
https://habr.com/ru/articles/1006666/

да отберут у нас телеграм - хоть хвали хоть обсерай его, все уже решили

Теперь злоумышленники могут посмотреть моего смешного кота и показания счетчиков

Размещено через приложение ЯПлакалъ

Так просматривать удобней товарищу Майору.
Поэтому не беспокойтесь.

Дескредетировала себя маха.

Размещено через приложение ЯПлакалъ

"по прямой очень длинной ссылке" - ну и чем это опаснее "непрямой" ссылки? Её же никто не видит и не имеет возможности скопировать, кроме хозяина.
Заемали "макины хацкеры". Поняли мы - макс говно, использовать нельзя, вы лучше в говно наступите, чем макс использовать будете. По-ня-ли!
Не будьте как веганы!!!

Понятно, значит будете как веганы. ОК ))

Это сообщение отредактировал ELEA - 6.03.2026 - 11:12

Вилемо ссылка держится, пока товарищ майор не посмотрит. Только у него есть право удалять контент 😅

Размещено через приложение ЯПлакалъ

Ой, да я вас умоляю! Они даже функционал не смогли скопировать с телеги полностью. О какой безопасности может идти речь? Мошенников у них в МАХе не будет. Ага! Мне уже ТРИ раза звонили по поводу замены домофона! Вчера коллеге по работе по поводу посылки (ессно никакой посылки он не заказывал) и ессно код из СМС просят! В телеграмме мне за много лет НИ РАЗУ не звонили. В Ватсапе было дело, лет 5 назад и пару раз всего.

А чо, писюны супруге не посылаешь? И она тити в ответ не шлет?
Скучно живете, товарищ.

а толку то? вечно обманутому же вчера уже доложили, что всё наоборот

Самый защищённый говномессенджер!

мем вспомнился. очень подходит для мах и его разработчиков сторожей)

Причем то что они называют длинной ссылкой это хэш пользователя, который можно узнать только из аккаунта

Размещено через приложение ЯПлакалъ

Да сразу было понятно что говно будет. Отечественные айти беспощадны и тупы как процессор байКАЛ.

Размещено через приложение ЯПлакалъ

У нас в синагоге это не приветствуется

Размещено через приложение ЯПлакалъ

Кроме авторитетного «бля буду», еще гарантии сквозного шифрования и заплаток на дырках уязвимости в официальных пресс-релизах были/будут/ожидаются (нужное подчеркнуть)?!

Да щщас! Его для этого что ли делали, чтобы ты мог фотки безпалева отправлять?!!!!
Ну глянет товарищ майор на матильду твоей благоверной - подумаешь! Чё жадный-то такой?

Не может быть. Скрепный же мессенджер.

справедливости ради, что бы получить ссылку на изображение нужно иметь доступ к самому изображению, в этом случае можно скриншот сделать и отправить на другой комп , нахер тога ссыль нужна.

Грят, что киреенковская это тема, он ее и двигает.