СМИ ВестиВЛГ обнаружило уязвимость в мессенджере MAX

Редакция СМИ «ВестиВЛГ» выявила уязвимость в работе мессенджера MAX, связанную с хранением и доступом к изображениям пользователей.

В ходе проверки было установлено, что фотографии, отправленные в личных переписках, получают прямые ссылки на загрузку. Если открыть такой адрес в браузере, изображение отображается без необходимости входа в аккаунт.

Особенность структуры этих ссылок также позволяет перебирать адреса автоматически. Теоретически это делает возможным поиск случайных изображений при помощи специальных программ.

Дополнительно выяснилось, что все медиафайлы сервиса размещаются на отдельном домене oneme.ru. Согласно открытым данным регистрации, домен принадлежит компании VK, LLC и обслуживается серверами ns1.ok.ru, ns2.ok.ru и ns3.ok.ru, которые относятся к инфраструктуре экосистемы VK.

Эксперты отмечают, что подобная схема хранения может создавать риски для конфиденциальности, поскольку пользователи нередко отправляют в мессенджерах фотографии документов, банковских карт и другие личные данные.