Редакция ВестиВЛГ подтверждает серьёзную проблему с безопасностью в мессенджере MAX, которая ставит под угрозу приватность пользователей. Как выяснилось, изображения из личных переписок могут оказаться фактически в свободном доступе в интернете.
Каждая загруженная в чат фотография получает прямую ссылку. Достаточно открыть её в обычном браузере — и изображение загружается без авторизации, логина или пароля.
Но самое тревожное начинается дальше.
Эксперты обнаружили, что адреса таких изображений можно перебирать автоматически. Это означает, что боты способны массово находить случайные фотографии пользователей, просто перебирая ссылки.
А в переписках люди отправляют далеко не безобидные картинки. Среди файлов уже находят:
- фотографии паспортов,
- изображения банковских карт,
- личные документы и другие данные, которые по определению не должны попадать в публичный доступ.
Фактически любая такая фотография может быть обнаружена и скачана посторонними людьми.
Техническая деталь:
Все изображения, отправляемые в мессенджере, фактически загружаются на внешний хост oneme.ru. Домен зарегистрирован на компанию VK, LLC и обслуживается DNS-серверами ns1.ok.ru, ns2.ok.ru и ns3.ok.ru, которые относятся к инфраструктуре экосистемы VK/OK. Это означает, что медиафайлы хранятся на отдельном CDN-домене и доступны по прямым URL-адресам.
На момент публикации официальных подробных разъяснений о масштабах проблемы и сроках её устранения не опубликовано. Пользователям рекомендуют не отправлять через мессенджер конфиденциальные документы, пока ситуация с безопасностью не будет полностью прояснена, следим за ситуацией в нашем телеграм канале.
Пока нет комментариев. Будьте первым!