Русский разум
@razumrussia
Все личное - публично. Пока правительство и Минцифры методично сгоняют россиян в национальный мессенджер MAX, блокируя альтернативные источники связи - WhatsApp, Telegram (в последнем даже запрещено рекламироваться, хотя объем рынка нативной и прямой рекламы в тг-каналах в 2025 году превысил 38 млрд руб), - а бизнесу и госкомпаниям настоятельно рекомендуют использовать только отечественное ПО, обеспечение «цифрового суверенитета» и контроль за трафиком накрываются медным тазом: нацмессенджер MAX не то чтобы в состоянии обеспечить пользователям безопасность данных.
В системе обнаружилась «дыра», которая превращает приватность в фикцию. Все личные фото из переписок в веб-версии MAX доступны любому, кто знает прямую ссылку на изображение. Авторизация не нужна. Файлы лежат на хостинге i.oneme.ru (наследие приложения «ТамТам» и экосистемы VK) и работают как обычные ссылки на картинку в интернете. Если ссылка утекла или была перехвачена - фото документов, личные снимки, геометки карт становятся публичными. Более того, даже если вы удалили сообщение «с двух сторон», файл физически остается на сервере. Технология та же, что и в VK середины 2010-х: технически подкованный злоумышленник в любой момент может посмотреть то, что вы «удалили» годы назад.
Формально государство строит защищенную среду, а по факту закладывает мину замедленного действия под доверие к цифровым госуслугам. Граждане, чьи паспорта или личные фото окажутся в открытом доступе из-за такой архитектуры, вряд ли будут благодарны за «суверенитет». Решать проблему нужно не блокировками, а аудитом кода. Пока MAX работает на старых наработках ВК (которые сами в конфиденциальности никогда не были лидерами), мы получаем не безопасный канал, а рай для мошенников: большую базу данных с открытым входом.
Поспешная миграция на непроверенные платформы ради галочки «импортозамещения» создает серьезные риски. Если разработчики срочно не закроют доступ к файлам по прямой ссылке и не наладят реальное удаление данных, «национальный мессенджер» станет национальным фотоархивом для всех, кто просто умеет гуглить.
В системе обнаружилась «дыра», которая превращает приватность в фикцию. Все личные фото из переписок в веб-версии MAX доступны любому, кто знает прямую ссылку на изображение. Авторизация не нужна. Файлы лежат на хостинге i.oneme.ru (наследие приложения «ТамТам» и экосистемы VK) и работают как обычные ссылки на картинку в интернете. Если ссылка утекла или была перехвачена - фото документов, личные снимки, геометки карт становятся публичными. Более того, даже если вы удалили сообщение «с двух сторон», файл физически остается на сервере. Технология та же, что и в VK середины 2010-х: технически подкованный злоумышленник в любой момент может посмотреть то, что вы «удалили» годы назад.
Формально государство строит защищенную среду, а по факту закладывает мину замедленного действия под доверие к цифровым госуслугам. Граждане, чьи паспорта или личные фото окажутся в открытом доступе из-за такой архитектуры, вряд ли будут благодарны за «суверенитет». Решать проблему нужно не блокировками, а аудитом кода. Пока MAX работает на старых наработках ВК (которые сами в конфиденциальности никогда не были лидерами), мы получаем не безопасный канал, а рай для мошенников: большую базу данных с открытым входом.
Поспешная миграция на непроверенные платформы ради галочки «импортозамещения» создает серьезные риски. Если разработчики срочно не закроют доступ к файлам по прямой ссылке и не наладят реальное удаление данных, «национальный мессенджер» станет национальным фотоархивом для всех, кто просто умеет гуглить.
Telegram
ЕЖ
Все личные фото из переписок в MAX может смотреть кто угодно, даже без авторизации. В госмессенджере нашли серьёзную дыру. Если знать прямую ссылку на изображение из веб-версии, то его можно открыть и без авторизации. Файлы работают как обычные ссылки на хостинг: любой человек с прямой ссылкой может посмотреть персональные фото. Под угрозой фото документов, карт и любые личные и интимные снимки, предупреждают эксперты.
@ejdailyru
🤯 6
⚡ 5
❤ 2
221 77K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram