- Пользователи обнаружили в сети доступ к изображениям из мессенджера Max, несмотря на заявления пресс-службы о невозможности подбора и генерации ссылок на фото.
- Ссылки на картинки остаются доступными после удаления изображений из сообщений, что связано с требованиями российского законодательства по хранению данных.
- Эксперты указывают на отсутствие полноценного контроля доступа к файлам, что ставит под сомнение степень защиты личных данных пользователей.
После выступления пресс-службы Max, заявившей о невозможности подбора или генерации ссылок на фотографии и картинки из мессенджера, пользователи обнаружили в открытых источниках файлы с контентом сервиса. В основном это изображения с логотипами открытых каналов, однако среди них также выявлены фотографии и другие изображения, опубликованные в данных каналах или, возможно, переданные пользователями.
По заявлению представителя Max, распространяемая в телеграм-каналах информация о фото, имеющихся в сервисе, является фейком без подтверждений, который опровергли эксперты по кибербезопасности. В компании подчёркивают, что личные фотографии доступны только владельцам и другим пользователям только в случае добровольного предоставления ссылки или изображения самим владельцем. Кроме того, пресс-служба утверждает, что ссылки невозможно подобрать или сгенерировать, а все данные пользователей находятся под надёжной защитой.
Однако выяснилось, что ссылки и сами изображения остаются доступны после удаления пользователем картинки из сообщения. Это связано с российским законодательством, требующим сохранения данных. При этом доступ к серверам, на которых хранятся картинки, не ограничивается механизмами перебора или блокировками, что открывает возможность их свободного скачивания по ключам и маскам.
Пример ссылок, обнаруженных у одного пользователя, демонстрирует, что в URL присутствуют идентификаторы, которые теоретически должны препятствовать подбору, однако на практике к ним есть доступ. Анализ выявленных файлов, включая архивы с изображениями, подтвердил реальность данной проблемы и возможность получения доступа к этим данным.
Эксперты по информационной безопасности, в частности ресурс Securitylab и организация OWASP, отмечают, что подобные ситуации являются ошибками контроля доступа. Сложные и длинные идентификаторы не заменяют серверную проверку прав пользователя. Если злоумышленник получает прямой адрес файла, система обязана блокировать несанкционированный доступ. В противном случае, как подчёркивают специалисты, мессенджер рискует превратиться из защищённого канала связи в обычный файловый хостинг с минимальной защитой, что наносит ущерб приватности пользователей и безопасности личных данных.
