В мессенджере Max найдена опасная уязвимость, позволяющая получить доступ ко всем фотографиям любых пользователей. Об этом на ресурсе Pukabu сообщил энтузиаст, обнаруживший, что абсолютно все изображения, когда-либо загруженные в Max, доступны всем людям даже без регистрации в мессенджере.
Оказалось, что все изображения, загруженные в Max, получают прямые URL-адреса, которые можно добыть при помощи веб-версии мессенджера, после чего открывать без авторизации. При этом бОльшая часть адреса остаётся одинаковой для всех файлов конкретного пользователя, что открывает простор для злоумышленников, которые могут применить метод банального перебора и выудить из Max всё, что когда-либо загружал конкретный пользователь. При этом удаление фото из Max не помогает: изображение не стирается с сервера и продолжает быть общедоступным.
ПО МАТЕРИАЛАМ: pikabu.ru
АВТОР: Владимир Ковалёв
