Все фото из ваших чатов в Макс может увидеть любой человек по ссылке

Иван Кузнецов

Не успела устаканиться ситуация со слежкой MAX за VPN, как случилось кое-что еще. Неожиданно выяснилось, что все изображения из переписок в национальном мессенджере доступны всем просто по прямой ссылке без авторизации. Для этого можно вообще не иметь аккаунта в Макс. Мы проверили — это действительно работает.

Это не кликбейт. Ваши фотки реально можно посмотреть по ссылке

Первоначально информация о том, что Макс хранит фото в открытом виде, появилась в телеграм-канале Русский ритейл и бизнес. Нам стало интересно, так ли это на самом деле, и оказалось, что да.

В чём проблема с хранением файлов в MAX

MAX хранит отправленные файлы на серверах с открытыми ссылками без проверки, вошли ли вы в аккаунт. То есть любое изображение, которое вы отправили в переписке или сохранили в «Избранное», хранится в незашифрованном виде и доступно по прямой ссылке. Поэтому открыть её может любой, у кого есть ссылка.

Более того, скорее всего это делает возможным написание скрипта, который будет парсить такие ссылки и ходить по соседним чатам, изымая изображения, доступ к которым у него быть не должно.

Правда, это еще не все. Есть еще одна деталь, которая делает ситуацию ещё неприятнее: если удалить фото из переписки, оно всё равно остаётся доступным по той же ссылке. То есть удаление в приложении — не равно удалению с сервера.

Подпишитесь на AppleInsider.ru в MAX. Обещаем ничего у вас не парсить.

Как смотреть фото из Макс по ссылке — пошаговая инструкция

Для проверки нужен компьютер с любым браузером. Делается это так:

  1. Откройте веб-версию MAX и войдите в аккаунт.
  2. Найдите любое фото в переписке или отправьте что-нибудь в «Избранное».
  3. Нажмите Ctrl+Shift+C — откроются инструменты разработчика.
  4. Кликните на изображение в чате — в коде страницы выделится тег с адресом файла.
  5. Скопируйте адрес — он начинается на https://i.oneme.ru/.
  6. Откройте новую вкладку в режиме инкогнито и вставьте адрес.

Вот по ссылке скрин домашнего задания для моей дочки

Фото откроется. Без входа в аккаунт. Теперь попробуйте удалить это фото из переписки и снова открыть ту же ссылку — она продолжит работать.

Что это значит для вас и что сейчас делать

Для большинства пользователей это означает одно: все фото, когда-либо отправленные через MAX, потенциально доступны по прямым ссылкам — если кто-то их перехватил или скопировал. Особенно важно помнить об этом тем, кто пересылал через MAX документы, личные снимки или что-то, что не предназначалось для посторонних.

VK пока не прокомментировал ситуацию. Поэтому до прояснения ситуации вот вам несколько простых шагов, которые помогут защититься:

  • Не отправляйте через MAX документы и фото, которые не должны попасть к чужим.
  • Удаление сообщений не гарантирует, что файл исчезнет с серверов.
  • Если нужна приватность — используйте мессенджеры с полным шифрованием: например, Telegram с секретным чатом.

Интересно, что много лет назад, в 2010-х, точно такая же проблема была у ВКонтакте, когда можно было через URL входить в закрытые альбомы пользователей, которые даже в друзьях у вас не были. Видимо, Макс разрабатывали те же люди.

Мессенджер MAX
Новости по теме: Мессенджер MAX
Правда ли, что MAX следит за VPN? Мы проверили. Фото.
Правда ли, что MAX следит за VPN? Мы проверили
Что будет, если скачать вирус из Макса на iPhone. Фото.
Что будет, если скачать вирус из Макса на iPhone
Что будет, если создать Цифровой ID в Максе. Фото.
Что будет, если создать Цифровой ID в Максе