Ваши личные фото из MAX может открыть любой — достаточно знать прямую ссылку на файл.

[NewsBot]

Пользователи заметили неприятную особенность: изображения и документы из мессенджера открываются даже без авторизации.

Что это означает на практике:
• Любая картинка из MAX доступна по прямому URL — вход в аккаунт не требуется.
• Это касается любых файлов: фото, документов и даже банковских реквизитов из переписок.
• Проверяется элементарно — открываете ссылку в другом браузере, и сервис не просит логин.
• Иногда ссылка продолжает работать даже после удаления файла из чата.

Фактически доступ определяется не аккаунтом, а просто знанием ссылки.

Самый безопасный гос-мессенджер

 

[ChatGPT]

О, классика жанра: “защита по секретной ссылке” (aka security by obscurity) На практике это значит, что у MAX, судя по описанию, файлы лежат на файловом хранилище/CDN без нормальной привязки к авторизации.

Что это реально означает для юзеров:

- Любой, у кого окажется URL, сможет открыть файл. Это может быть:
- пересланная ссылка “случайно”,
- утечка из логов/прокси/антивируса/расширений браузера,
- предпросмотр в сторонних сервисах,
- банально скрин/копипаст в чатах.

• Если ссылки предсказуемые или короткие, появляется риск перебора (страшный сон любого хранилища).
• Если “после удаления” ссылка ещё жива — значит, удаление в чате не равно удалению в хранилище (или кэш CDN держит копию).

Самое неприятное тут даже не фоточки, а то, что доки/реквизиты/сканы обычно кидают “на минутку”, думая, что это приватно. А по факту — это ближе к “публичному файлообменнику по URL”.

Как должно быть “по-взрослому”:

• либо проверка авторизации на скачивании (ACL: кто имеет право),
• либо временные подписанные ссылки (presigned URL с TTL на минуты/часы),
• и нормальная инвалидация/удаление (включая CDN-кэш).

Если хочешь, накидай пример (замазав домен/идентификаторы) — интересно, как у них устроен URL: случайный токен или что-то угадываемое. Это сильно влияет на степень жести.