Пользователь обнаружил уязвимость в веб-версии Мах: изображения из ЛС можно найти в открытом доступе по прямой ссылке

 [ Версия для печати ]
Добавить в Telegram Добавить в Twitter Добавить в Вконтакте Добавить в Одноклассники
Страницы: (6) « Первая ... 4 5 [6]   К последнему непрочитанному [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]
poopkin
6.03.2026 - 15:30
0
Статус: Offline


Не режиссёр

Регистрация: 2.04.14
Сообщений: 6638
Цитата (Modigar @ 6.03.2026 - 11:08)
Цитата (mrTaiga @ 6.03.2026 - 11:06)
Теперь злоумышленники могут посмотреть моего смешного кота и показания счетчиков

А чо, писюны супруге не посылаешь? И она тити в ответ не шлет?
Скучно живете, товарищ.

Да , совсем не беспокоитесь что тащмайор разозлится не подрочивши
 
[^]
arthur4ik
6.03.2026 - 15:31
0
Статус: Offline


Ярила

Регистрация: 5.10.15
Сообщений: 1678
Находятся ведь долба*бы, кто установил его.
 
[^]
Silicagel
6.03.2026 - 15:40
0
Статус: Offline


Балагур

Регистрация: 13.11.19
Сообщений: 856
Цитата (Modigar @ 6.03.2026 - 11:05)
Он еще и инфу про квн сливает товарищу майору (скоро подполковнику)
https://habr.com/ru/articles/1006666/

Эту инфу льют и Госуслуги и все банковские приложения.
Не ново.

Вы всё еще не поняли, что Мах это трендовый кликбейт?

Пока, 8 из 10 "разоблачений" это кликбейт на общепринятом функционале.

Вот, картинки в прямом доступе, это жирный косяк. Да.
 
[^]
Silicagel
6.03.2026 - 15:42
0
Статус: Offline


Балагур

Регистрация: 13.11.19
Сообщений: 856
Цитата (arthur4ik @ 6.03.2026 - 15:31)
Находятся ведь долба*бы, кто установил его.

Скажи, что у тебя не не установлены Госуслуги и банкинг!
 
[^]
вопрошаю
6.03.2026 - 15:58
1
Статус: Offline


Ярила

Регистрация: 23.07.17
Сообщений: 1495
Когда станет известно, что это фейк первонахи придут извиняться или в закат ускачут?

Размещено через приложение ЯПлакалъ
 
[^]
Poplar8
6.03.2026 - 16:32
1
Статус: Offline


Ярила

Регистрация: 24.07.20
Сообщений: 1745
Скоро терешковы с родниными примут закон об уголовной ответственности за обнаружение уязвимостей Мах.

Это сообщение отредактировал Poplar8 - 6.03.2026 - 16:33
 
[^]
boldik
6.03.2026 - 16:35
0
Статус: Offline


Шутник

Регистрация: 27.05.16
Сообщений: 19
Безопасность от макса = безопасность от гранты.

Размещено через приложение ЯПлакалъ
 
[^]
NightKnight
6.03.2026 - 16:42
-1
Статус: Offline


Ярила

Регистрация: 4.07.13
Сообщений: 1139
А что вы хотели от нынешних кодеров. Которы только ИИ запросы составлять могут. Я Писал где то, что нет у нас кодеров с умом. А тут еще логику шифрования знать надо. Бюджет освоили. Ща доборовольно принудительно посадят незнающих на говноМАХ. (Его же не переименуют, а то все макс да макс. А это нихуя не на скрепном языке, и нарушает закон). Так что я пока что в Телеге а потом в imo (пока наши долбоебы при власти и до него не докопались)
 
[^]
Ватан11
6.03.2026 - 16:54
0
Статус: Online


Ярила

Регистрация: 15.11.24
Сообщений: 1330
Цитата (arthur4ik @ 06.03.2026 - 15:31)
Находятся ведь долба*бы, кто установил его.

судя по комметам , - большинство.

так увлечённо обсуждают сорта г

Размещено через приложение ЯПлакалъ
 
[^]
Ватан11
6.03.2026 - 16:56
0
Статус: Online


Ярила

Регистрация: 15.11.24
Сообщений: 1330
Цитата (NightKnight @ 06.03.2026 - 16:42)
А что вы хотели от нынешних кодеров. Которы только ИИ запросы составлять могут. Я Писал где то, что нет у нас кодеров с умом. А тут еще логику шифрования знать надо. Бюджет освоили. Ща доборовольно принудительно посадят незнающих на говноМАХ. (Его же не переименуют, а то все макс да макс. А это нихуя не на скрепном языке, и нарушает закон). Так что я пока что в Телеге а потом в imo (пока наши долбоебы при власти и до него не докопались)

имо давно блочат.

если в твоей локации пока не трогают , тебе везёт

Размещено через приложение ЯПлакалъ
 
[^]
тормос
6.03.2026 - 17:18
0
Статус: Offline


Хохмач

Регистрация: 20.04.21
Сообщений: 609
Тов. Маëр, посмотрите у моей в пизде, кажется, плесень завелась.
Фото в эфире.

Размещено через приложение ЯПлакалъ
 
[^]
Salagin
6.03.2026 - 17:54
0
Статус: Offline


Ярила

Регистрация: 22.12.12
Сообщений: 7154
Цитата (SLash81 @ 06.03.2026 - 11:21)
И? Нужно ЗНАТЬ ссылку. Если в ссылке несколько десятков символов, то перебирать практически бессмысленно. Да и толку от того, что смог (теоретически) открыть чьё-то фото? А Яндекс-диск с его ссылками чего тогда не ругают? Не зная ссылки, скачать файл оттуда практически нереально.

В Битриксе все это время файлы в таком же виде лежат, в открытом виде, надо только ссылку знать

Размещено через приложение ЯПлакалъ
 
[^]
Dimitriys74
6.03.2026 - 18:02
-1
Статус: Offline


Ярила

Регистрация: 26.10.25
Сообщений: 1337
Это только начало) Ну не можем мы ничего сделать хорошо, пока в нашей стране коррупция и на такие проекты с госбюджетом назначаются свои люди, а не самые талантливые!!! У меня отец был неплохим программистом, работал в Октябрьском трамвайном депо г. Москва в 90х годах. Ему поставили задачу разработать программу, которая бы считала заработок водителя, когда он на линии. Там много нюансов, выходные, праздничные дни, переработки, поломки, пробки и т.д. Он сделал её за зарплату, получил премию и она работала безотказно! Но потом, кто-то решил, что сейчас моего отца не станет и никто кроме него не знает нюансов, надо чтобы своя фирма разработала свою программу. Было выделено до....на бабла на это, перешли на их программу и всегда обращались к бате, то там зависло, то там! Батя помогал конечно, но эти суки, кроме з/п с ним больше никогда не делились!

Размещено через приложение ЯПлакалъ
 
[^]
Leshiko
6.03.2026 - 18:48
1
Статус: Offline


Ярила

Регистрация: 7.04.13
Сообщений: 6658
Максут Шадаев
Сидит, обтекает.
----------------------------
На самом деле нет, ему пох.

Размещено через приложение ЯПлакалъ
 
[^]
MaxMeD
6.03.2026 - 18:48
0
Статус: Offline


For the Empire!

Регистрация: 14.09.16
Сообщений: 5386
Цитата (Modigar @ 06.03.2026 - 11:05)
Он еще и инфу про квн сливает товарищу майору (скоро подполковнику)
https://habr.com/ru/articles/1006666/

Офигенный мессенджер

Размещено через приложение ЯПлакалъ
 
[^]
RA2FDR
6.03.2026 - 19:08
0
Статус: Offline


Ярила

Регистрация: 14.10.14
Сообщений: 12897
Цитата (Therny @ 6.03.2026 - 10:02)
«Если злоумышленнику известен точный веб‑адрес изображения из веб‑версии Max, он сможет его просмотреть примерно как в случае с сайтами для обмена изображениями, только ссылка несколько длиннее. Авторизация в Max для этого не требуется, как и не требуется быть легитимным получателем данного изображения внутри системы», — пояснили профильные эксперты.

Это конечно дыра, но на фоне шпионства за сетевой доступностью конечного пользователя это так, мелочи, просто форточку не закрыли.
 
[^]
stone75
6.03.2026 - 21:01
0
Статус: Offline


Ярила

Регистрация: 12.10.22
Сообщений: 3553
Цитата (Повсикакий @ 06.03.2026 - 11:08)
Самый защищённый говномессенджер!

Кто нибудь объяснит мне, почему этот МаХесенджер разогревает телефон до +55С как никто другой. Я криту майню во время разговора или на спутник сразу разговор дублируется?

Размещено через приложение ЯПлакалъ
 
[^]
Freddy70
6.03.2026 - 21:12
0
Статус: Offline


Ярила

Регистрация: 30.03.18
Сообщений: 1309
Цитата (loredan @ 6.03.2026 - 11:06)
Дескредетировала себя маха.

Маху дала :)))
 
[^]
Freddy70
6.03.2026 - 21:16
0
Статус: Offline


Ярила

Регистрация: 30.03.18
Сообщений: 1309
Цитата (Silicagel @ 6.03.2026 - 15:40)
Цитата (Modigar @ 6.03.2026 - 11:05)
Он еще и инфу про квн сливает товарищу майору (скоро подполковнику)
https://habr.com/ru/articles/1006666/

Эту инфу льют и Госуслуги и все банковские приложения.
Не ново.

Если б товарищу майору по службе сливали, так они мошейникам еще продают все базы... а это уже не хорошо, даже очень плохо...
 
[^]
trybros
6.03.2026 - 22:42
0
Статус: Offline


Ярила

Регистрация: 22.10.15
Сообщений: 3893
Цитата
Если знать прямой веб-адрес картинки из веб-версии сервиса

Да хакеры так компьютеры взламывали: Если есть прямой доступ к компьютеру, то можно скачать всю ценную информацию с него.
У меня это мемы разной степени.
 
[^]
yus
6.03.2026 - 23:48
0
Статус: Offline


Jedem das Seine

Регистрация: 6.08.08
Сообщений: 2384
Не понимаю хайпа именно этой темы. почему-то про ВК так не возбуждались, даже когда поиск по документам работал и можно было найти хоть сканы паспортов, да и картинки там так хранятся испокон веков (такой же вид ссылки на source). А если про хэши - то попробуйте открыть картинку в диалоге, скопировать ее url и перейти по ней на любом устройстве - естественно она откроется. И если есть доступ к компу, то при умелых руках эту ссылку можно достать из кэша браузера,не имя доступ к вк.

Как хранится кэш, например в тг - не проверял. Возможно также.

Это сообщение отредактировал yus - 6.03.2026 - 23:49
 
[^]
isironn
7.03.2026 - 02:35
0
Статус: Online


Ярила

Регистрация: 18.07.13
Сообщений: 3633
Цитата (Polkovnik @ 06.03.2026 - 11:13)
справедливости ради, что бы получить ссылку на изображение нужно иметь доступ к самому изображению, в этом случае можно скриншот сделать и отправить на другой комп , нахер тога ссыль нужна.

Перебором можно награбить ссылок

Размещено через приложение ЯПлакалъ
 
[^]
Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
5 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) Просмотры темы: 22155
4 Пользователей: Globby, den627, pavelkoms, Dimon4ick
Страницы: (6) « Первая ... 4 5 [6]  [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]


 
 



Активные темы






Наверх