Российский мессенджер Max (ранее известный как VK Мессенджер) оказался в центре скандала, связанного с безопасностью пользовательских данных. Исследователи обнаружили, что фотографии и изображения, отправленные через мессенджер, доступны по прямым ссылкам без какой-либо проверки прав доступа.
Что произошло
После официального заявления пресс-службы Max о том, что ссылки на фотографии из мессенджера «нельзя подобрать или сгенерировать», пользователи технического портала Habr провели собственное расследование. В результате были найдены различные файлы с контентом пользователей сервиса, размещенные на серверах i.oneme.ru.
Выяснилось, что ссылки на изображения остаются доступными даже после того, как пользователь удалил картинку из сообщения в мессенджере. По заявлению разработчиков, это связано с необходимостью соблюдения требований российского законодательства по хранению данных.
Технические детали
Структура ссылки на ресурс i.oneme.ru/i?r содержит вариацию Base64, кодирующую запись из трех полей: 144-битный заголовок, 128-битный идентификатор картинки и 128-битный идентификатор пользователя (идентификатор чата). При этом доступ к серверам с картинками открытый — отсутствуют блокировки по перебору и ограничения на скачивание по ключам и маскам.
В Архиве Интернета (Wayback Machine) уже зафиксировано множество примеров подобных ссылок, что подтверждает индексацию пользовательского контента внешними сервисами.
Оценка экспертов
Портал SecurityLab указал, что ситуация выходит за рамки вопроса о возможности подбора ссылки. По классификации OWASP (Open Web Application Security Project), подобные сценарии относятся к ошибкам контроля доступа. Организация прямо указывает, что сложный или длинный идентификатор может затруднить подбор, но не заменяет серверную проверку прав.
Эксперты подчеркивают принципиальную разницу между двумя моделями защиты: когда безопасность файла держится исключительно на длине ссылки, любая утечка адреса — через журнал веб-сервера, историю браузера или снимок экрана — превращает личное фото в фактически публичный объект. Надежная модель предполагает повторную проверку прав доступа при каждом запросе файла.
Последствия для пользователей
Инцидент ставит под вопрос безопасность персональных данных пользователей мессенджера, который позиционируется как национальный сервис обмена сообщениями. Отсутствие серверной проверки прав доступа к медиафайлам фактически превращает мессенджер в файловый хостинг с приватной оберткой, а не в защищенный канал связи.
На момент публикации пресс-служба Max продолжает настаивать на том, что все данные пользователей «надежно защищены», однако технические факты свидетельствуют об обратном.