Личные фото из госмессенджера Max оказались в общем доступе

Об уязвимости, которую обнаружили пользователи мессенджера, этим утром сообщает ряд телеграм-каналов, в том числе RusNews.

Как и в других мессенджерах, при обмене изображениями в Мах для каждого фото в коде страницы генерируется ссылка. Скопировать ее проще всего, если зайти в веб-версию Max и нажать Ctrl+Shift+C. Но чтобы открыть эту ссылку с любого другого устройства, на нем нужно сначала залогиниться в мессенджере, причем зайти именно в тот профайл, который участвовал в переписке и отправлял (или получал) это фото.

Проблема с Max в том, что у этого мессенджера, как оказалось, любые ссылки на любые изображения открываются с любых устройств в любых браузерах (даже на парковке!). Для этого не нужно не то что авторизовываться под тем же логином, а вообще можно не заходить ни в какой аккаунт Max (в так называемом режиме инкогнито).

RusNews отмечает, что изображения остаются доступными по ссылке некоторое время даже после того, как отправитель изображения стирает его из истории переписки!

В пресс-службе мессенджера от недоработки поспешили откреститься: «Это очередной наброс без подтверждений, который опровергли эксперты по кибербезопасности. Личные фото недоступны никому, кроме владельца. Другие пользователи могут увидеть фото только если владелец добровольно поделится ими или ссылкой на них. Ссылку нельзя подобрать или сгенерировать. Все данные пользователей нацмессенджера, включая фото, надежно защищены».

На чем основана абсолютная уверенность, что никакие мошенники, хакеры и т. п. ни за что не получат доступа к таким ссылкам, например в результате утечек и взломов, в Max не пояснили.