Редакция ВестиВЛГ подтверждает серьёзную проблему с безопасностью в мессенджере MAX, которая ставит под угрозу приватность пользователей. Как выяснилось, изображения из личных переписок могут оказаться фактически в свободном доступе в интернете.
Каждая загруженная в чат фотография получает прямую ссылку. Достаточно открыть её в обычном браузере — и изображение загружается без авторизации, логина или пароля.
Но самое тревожное начинается дальше.
Эксперты обнаружили, что адреса таких изображений можно перебирать автоматически. Это означает, что боты способны массово находить случайные фотографии пользователей, просто перебирая ссылки.
А в переписках люди отправляют далеко не безобидные картинки. Среди файлов уже находят:
- фотографии паспортов,
- изображения банковских карт,
- личные документы и другие данные, которые по определению не должны попадать в публичный доступ.
Фактически любая такая фотография может быть обнаружена и скачана посторонними людьми.
Техническая деталь:
Все изображения, отправляемые в мессенджере, фактически загружаются на внешний хост oneme.ru. Домен зарегистрирован на компанию VK, LLC и обслуживается DNS-серверами ns1.ok.ru, ns2.ok.ru и ns3.ok.ru, которые относятся к инфраструктуре экосистемы VK/OK. Это означает, что медиафайлы хранятся на отдельном CDN-домене и доступны по прямым URL-адресам.
На момент публикации официальных подробных разъяснений о масштабах проблемы и сроках её устранения не опубликовано. Пользователям рекомендуют не отправлять через мессенджер конфиденциальные документы, пока ситуация с безопасностью не будет полностью прояснена, следим за ситуацией в нашем телеграм канале.
Тчно также по url можно просмотреть фото где-угодно
Идентичную ссылку можно получить, если развернуть изображение, кликнуть на нем правой кнопкой и выбрать "сохранить ссылку на изображение". Без всяких ковыряний консоли разработчика.
Сенсации не получится. Такую же ссылку можно получить не копаясь в DevTools, а просто "развернув" изображение, кликнув по нему правой кнопкой мыши и сохранив ссылку, как предлагается в выпадающем меню.
Я проверил, вытащить фото реально можно 🤷. Тут срочно нужно обновление выпускать, а не мазаться что подобрать невозможно 🤦
Сейчас обновление выкатят быстро и скажут ничего такого не было)
В дополнение: «Это фейк», говорит MAX. Хабр проверил и подтвердил проблему. Кому верить? Подробнее: https://www.securitylab.ru/news/570087.php
Хабр зарегистрирован Кипре + работает совместно с иноагентами Роскомсвобода и Ко*
Что только не пишут..уже не знаем чему верить
А что тут верить или не верить, факт написанный в статье - правда, подтверждается программистами с хабра. Макс отрицает - как в принципе и все камни в его сторону. Закрыть глаза, уши и рот - проблем как бы и нет.
А что тут верить или не верить, факт написанный в статье - правда, подтверждается программистами с хабра. Макс отрицает - как в принципе и все камни в его сторону. Закрыть глаза, уши и рот - проблем как бы и нет.
Что только не пишут..уже не знаем чему верить
А что тут верить или не верить, факт написанный в статье - правда, подтверждается программистами с хабра. Макс отрицает - как в принципе и все камни в его сторону. Закрыть глаза, уши и рот - проблем как бы и нет.
А что тут верить или не верить, факт написанный в статье - правда, подтверждается программистами с хабра. Макс отрицает - как в принципе и все камни в его сторону. Закрыть глаза, уши и рот - проблем как бы и нет.
Если фото может открыть любой желающий по ссылке - значит оно в открытом доступе. ТОЧКА!
Часть 9 статьи 13.15 Кодекса РФ об административных правонарушениях (КоАП РФ) предусматривает ответственность за распространение в СМИ и информационно-телекоммуникационных сетях заведомо недостоверной общественно значимой информации под видом достоверных сообщений.
Пресс-служба MAX опровергла ранее появившиеся фейковые сообщения о том, что личные фотографии пользователей находятся в общем доступе. Представители мессенджера отметили, что другие люди смогут увидеть эти фотографии только в том случае, если владелец сам перешлёт их или поделится ссылкой на изображения. Кроме того, эксперты по кибербезопасности заверили, что такую ссылку невозможно подобрать или сгенерировать, а все данные пользователей, включая фотографии, надёжно защищены. Пресс-служба MAX опровергла ранее появившиеся фейковые сообщения о том, что личные фотографии пользователей находятся в общем доступе. Представители мессенджера отметили, что другие люди смогут увидеть эти фотографии только в том случае, если владелец сам перешлёт их или поделится ссылкой на изображения. Кроме того, эксперты по кибербезопасности заверили, что такую ссылку невозможно подобрать или сгенерировать, а все данные пользователей, включая фотографии, надёжно защищены. (взято из ТГ Соловьев Live)
Ввёл ссылку из картинки — „страница не доступна”. Можно глянуть реальный слив? Просто ссылку выложите, где покажет картинку из переписки.
https://i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2NotlWolnH_D4mb2pQhKmcVtUhddR7URMWLMN37OFICXNYs
Моя картинка: https://i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2Nothz7yJWZ5LiWh7my1lRYGBym8CmYi2YrCwo2EpRWg6nc Ну ладно, то, что оно прям вот так видно — это странно, нужно сделать как в ТГ (сразу требует установки ТГ и не волнует). Но в плане „подобрать” — это мимо. Хэш прям очень сильно различается, всё равно что зная хэш, попробовать пароль куда-то подбирать. В ближайшей перспективе не реально!
Моя картинка: https://i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2Nothz7yJWZ5LiWh7my1lRYGBym8CmYi2YrCwo2EpRWg6nc Ну ладно, то, что оно прям вот так видно — это странно, нужно сделать как в ТГ (сразу требует установки ТГ и не волнует). Но в плане „подобрать” — это мимо. Хэш прям очень сильно различается, всё равно что зная хэш, попробовать пароль куда-то подбирать. В ближайшей перспективе не реально!