Пользователь обнаружил уязвимость в веб-версии Мах: изображения из ЛС можно найти в открытом доступе по прямой ссылке

подождите ещё, скоро всё вообще в открытом доступе окажется

это не баг а фича
для этого и делалось

там же не случайный набор символов. Там хеш от чего то. Если вы знаете от чего - посчитаете.

ссылки могут быть украдены троянами на компе или в процессе передачи по сети (хотя это сложно, но тоже не исключено, если приватный ключ серверов скама в посторонние руки попадет) или в случае утечки логов с серверов скама (а логи как правило не шифруются, хранятся годами, и внимания к их защите зачастую меньше, чем к пользовательским данным). На стороне рабочих компов пользователей те ссылки могут логгироваться разным софтом по инициативе админов организации, которые потом тоже с интересом посмотрят ваши фоточки.

Cсылку могут опубликовать намеренно получатели той картинки, если захотят напакостить отправителю. Любое фото, видео, что вы шлете через скаМ, автоматически публикуется в сети без пароля. а дальше, если это фото интересно товарищу майору, отправитель садится по разным статьям за "публичное распространение", не важно, что его там могли увидеть только хакеры и тот майор. Все что выложено в открытый доступ без пароля для наших судов потянет на распространение.

Это сообщение отредактировал alef78 - 6.03.2026 - 12:27

И в чем тут уязвимость?

А как злоумышленник узнает точный веб адрес?

А что помешает трояну или злоумышленнику просто выложить само фото?

Я не фанат Макса, но вы хоть теоретически представляете себе масштаб задачи - перебирать такие комбинации?
И всё для чего? Что бы раз в сотню лет может быть найти картинку, которую можно будет как то использовать?

Это сообщение отредактировал YOrick - 6.03.2026 - 12:27

И даже править не будут. А зачем? ©.

Блокируешь остальное, остаётся из месенджеров макс или смс. Не хочешь - не пользуйся, чо. Это ж пидарасьи методы.

Размещено через приложение ЯПлакалъ

объем трафика.
всякие утилиты слежки за пользователем со стороны некоторых работодателей обычно не снимают его экран 24/7, а вот логгировать все загружаемые им ссылки могут запросто.
также у некоторых организаций выход в интернет через местные прокси, на которые редиректится запрос пользователя по https с ключем организации, та логгирует, и дальше наружу уже шлет нормальный https. Содержимое ссылок никто в здравом уме не логгирует, а сами ссылки - запросто, и дальше имеющий доступ к тем логам сможет пойти поскачивать с сервера скама картинки и файлы по тем ссылкам.

А еще если кинуть кому то в переписке макс какое то изображение запрещенного характера, то это автоматически получается "публичная демонстрация неограниченному кругу лиц посредством средства массовой информации (интернет)"


А вообще эта штука была еще в vk.

Когда появился вк я перестал пользоваться хостингами картинок (помните было такое 20 лет назад)

Потому что я создал закрытый альбом, кидал туда картинки, и прямую ссылку на них вставлял на сайт или форум. И что самое интересное, что да, даже если удалить фотку из альбома, то по ссылке оно продолжало работать бесконечно. У них там видимо безлимитные сервера бесконечные"

Это сообщение отредактировал rok88 - 6.03.2026 - 12:36

может быть O(1), если там хеш от известных / угадываемых данных (а с большой вероятностью так и есть) или если вы просто добыли ту ссылку из кучи разных логов, на стороне пользователя, сервера или проксей, куда она потенциально могла попасть.

А точный не надо, достаточно знать что такая возможность есть, а там начинаем сканить и перебирать что получили, на 10к результатов скан паспорта или важного дока да попадется, а дальше уже сами понимаете

Да вся хвалёная крипта по сути работает на этом-же принципе: просто подбирай секретный ключ к кошельку потолще, и можешь жить в своё удовольствие. Ничего сложного:))

в Мах ответили што это фейк

Размещено через приложение ЯПлакалъ

В Телеграмм, Вацапе так можно было?
Не сарказм, вопрос.

В вотсапе стопроцентно нет, там двусторонее шифрование.

А в телеграмме каким образом получить ссылку картинки? А вот в переписке макс проверил работает.


Кстати вообще удобная штука опять же.
Создал в максе отдельный чат где ты и какой нибудь твой второй телефон.

Хочешь вставить 10 картинок в один пост на япе.
Кидаешь 10 картинок в эту переписку. Получаешь десять ссылок.

Вставляешь их все через IMG.
Вообще удобно. Жаль что наверняка потрут эту возможность

я люблю людей) и поэтому фотографирую для них самое прекрасное - мою мохнатую жопу))) нехай любуются))) где вы еще такую красоту увидите?)))) если только в зеркале))))

Это сообщение отредактировал Koive - 6.03.2026 - 12:44

Ну не знаю. Не знаю. Ни одного звонка от мошеЙников через Макс не было. Может быть я чего-то не так делаю? 🤔
Может Макс надо установить? 🤔
😁😆😅😂

Размещено через приложение ЯПлакалъ

Ну не всем, а только у кого ссылка. А никто и не говорил, что БД шифрована.

можно убрать , а зачем?)) это намеренно оставленный бэкдор , чтобы майор зашел и увидел картиночки не православные и считай , усе , прилип.

Кто польузется софтом Маде ин Россия..тот понимает - насколько еще сырые продукты анализа кода

Записал, хули.
Не забывать поздравлять тащмайора.
А, забыл совсем.... я ж это говно не устанавливал на телефон и не собираюсь.

Ты это, повнимательней.
Вдруг в тащмайорах сидит ара какой-нибудь.
Как воспылает к тебе, устанешь потом отбиваться.

Это сарказм?

Это не одно и тоже? Например, мне, на другой мессенджер переслали ссылку с вацапа и я её вижу вместе с картинками. Мне даже идти не надо в вацап, юноу?