На дыру в безопасности обратил внимание пользователь Pikabu 5time: при загрузке изображения в личный чат или «Избранное» для него создается статичная гиперссылка. По ней изображение доступно любому человеку в интернете.
Для примера: так выглядит ссылка на изображение в «Избранном» мессенджера Мах, который специально для эксперимента завел журналист «Соты»: https://i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2NotmMYIoEzftdEjKv_-0v8GIBntj244ydfVKcBV7_RTbd8
Ссылку можно получить, открыв веб-версию мессенджера и нажав в браузере Cntrl+Shift+C (соответствующая часть кода будет подсвечена при наведение курсора на изображение).
- Более того: удаление изображения из переписки все равно оставляет его доступным по ссылке (журналист «Соты» проверил это на своем примере), по утверждению автора статьи на Pikabu – как минимум в течение недели. Можно предположить, что удаленные изображения хранятся на серверах Мах в соответствии с «законом Яровой», чтобы быть доступными для спецслужб.
Теоретически из-за такой открытости ссылок можно подбирать их для поиска случайных изображений из чатов пользователей «национального мессенджера», хотя к самим пользователям ссылки не привязаны. Напомним, однако, что сам мессенджер по умолчанию предполагает прозрачность для российских силовиков.
подписывайтесь на SOTA дарите нам бусты поддержите нас иностранной картой криптовалютой
