Фотографии из личной переписки в веб-версии мессенджера MAX можно открыть по прямому URL без входа в аккаунт. Пользователь Pikabu под ником 5time опубликовал описание проблемы 5 марта 2026 года. Пользователь под ником denis-19 на Хабре провёл собственную проверку и подтвердил: ссылка работает в другом браузере, где авторизация в MAX отсутствует.
Пресс-служба MAX назвала публикацию фейком.
Для воспроизведения нужна веб-версия MAX и инструменты разработчика в браузере. Пользователь отправляет фото в переписку или в «Избранное», открывает веб-версию, нажимает Ctrl+Shift+C и копирует прямой URL изображения. Этот URL открывается в любом браузере, на любом устройстве, без авторизации в MAX. По словам 5time, большая часть ссылки одинакова для всех файлов одного пользователя, а защита от перебора не предусмотрена.
Удаление фотографии из переписки не решает вопрос. По данным Хабра, после удаления изображения из чата ссылка продолжает работать ещё какое-то время. 5time утверждает, что проверял доступность в течение недели. MAX не пояснил, почему удалённые файлы остаются доступными по URL.
В ответ на публикацию Хабра пресс-служба MAX заявила:
Личные фото недоступны никому, кроме владельца. Другие пользователи могут увидеть фото, только если владелец добровольно поделится ими или ссылкой на них. Ссылку нельзя подобрать или сгенерировать.
Позиция MAX сводится к аргументу о длине URL: ссылка сложная, подобрать её нельзя, значит файл защищён. OWASP (Open Web Application Security Project, открытый проект по безопасности веб-приложений) классифицирует такой подход как ошибку контроля доступа. Организация прямо указывает:
Информация
Длинный или сложный идентификатор ресурса не заменяет серверную проверку прав. Если ссылка каким-то образом оказалась у постороннего, через журнал веб-сервера, историю браузера, пересылку, скриншот, файл становится публичным.
Читайте также: Telegram заменил Tor для киберпреступников
Telegram обрабатывает ту же задачу иначе. Файлы из личных чатов отдаются только после авторизации на сервере: даже зная URL, посторонний не увидит содержимое. В MAX по данным проверки Хабра сервер отдаёт изображение любому, кто обратился по ссылке.
Скандал вокруг фотографий, не первый за неделю. 5 марта на Хабре пользователи NTC-форума обнаружили, что MAX обращается к серверам WhatsApp (принадлежит Meta, которая признана экстремистской и запрещена в России) и Telegram, а также к иностранным сервисам определения IP. Пресс-служба MAX в комментарии Хабру опровергла и эту информацию. MAX не сообщал о планах по исправлению. Через веб-версию сервиса сейчас лучше не передавать сканы документов, банковские реквизиты и другие изображения, утечка которых нежелательна.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
