Последние новости: Мессенджер Max

Фотографии из личных чатов веб-версии MAX открываются по прямому URL без авторизации. Удалённые из переписки файлы остаются доступными по ссылке. Пресс-служба MAX назвала публикацию фейком. OWASP считает такую модель ошибкой контроля доступа.

Громкая история о взломе «убийцы Telegram» рассыпалась за сутки. Сначала компания MAX технически опровергла заявления о 15 млн украденных записей, а затем и сам автор вброса, хакер CamelliaBtw, публично признался во лжи.

Мессенджер Max, позиционировавший себя как «Убийца Telegram» с идеальной защитой, полностью скомпрометирован спустя год после запуска. Хакер утверждает, что получил Root-доступ через уязвимость в обработке картинок и выгрузил всё: от переписок и телефонов 15 млн пользователей до SSH-ключей разработчиков.