В мессенджере MAX произошел инцидент с ботом отложенного постинга «Отложка». Через сервис, которому администраторы каналов выдавали права на публикацию, в ряде крупных каналов появились посторонние сообщения. Об этом написал пользователь Хабра Егор под ником Pakistanis, который ранее уже разбирал проблемы безопасности сторонних ботов для MAX.
По его описанию, 27 мая в нескольких каналах почти одновременно появилось сообщение, адресованное владельцу «Отложки» Евгению Чудову. Автор утверждает, что сервис имеет открытую административную часть и позволяет отправлять сообщения во все подключенные каналы. В публикации на Хабре приведены скриншоты и перечислены каналы, где читатели якобы видели такие сообщения, включая спортивные и автомобильные сообщества.
Сама «Отложка» — сторонний бот для MAX, который обещает автопостинг, отложенные публикации, массовую публикацию, кнопки и отчеты по просмотрам. В каталогах и рекламных материалах сервис описывается как инструмент для администраторов MAX-каналов. Чтобы бот мог публиковать записи, владелец канала должен добавить его в администраторы и выдать права на публикацию.
Благодаря этому сторонний сервис получает право действовать от имени канала. Если внутри такого сервиса появляется уязвимость, плохо закрытая админка или небезопасная функция массовой отправки, последствия сразу видят подписчики подключенных каналов.
Хабр-публикация утверждает, что у «Отложки» существовала доступная функция массовой рассылки по каналам, которой воспользовался посторонний человек. Технического отчета с кодом уязвимости, логами сервера или независимым разбором пока нет.
После рассылки, как пишет автор Хабра, в канале «Отложки» появились короткие сообщения: сервис признал взлом, попросил не переходить по ссылкам, сообщил о поиске проблемы, затем заявил, что всё исправлено. Подробного публичного post-mortem с описанием причины, затронутых каналов, временем атаки, перечнем действий и рекомендациями для владельцев каналов на момент публикации не было.
На этом претензии к MAX не закончились. В соцсетях и админских чатах начали обсуждать ещё один эпизод — грубую кнопку на экране входа. Пользователи утверждают, что в интерфейсе авторизации рядом с полем пароля появилась кнопка с нецензурной формулировкой, со смыслом: «введи пароль — или уходи». Скриншоты расходятся как пример того, что в продукте, который продвигают как массовую платформу для общения, бизнеса и каналов, могут неделями жить элементы интерфейса без нормальной модерации текста.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
