После заявления Max о безопасности ссылок пользователи нашли изображения из мессенджера в открытом доступе 🤔

После заявления пресс-службы мессенджера Max о том, что ссылки на фотографии и изображения невозможно подобрать или сгенерировать, пользователи Хабра обнаружили в сети файлы с контентом пользователей сервиса.

В большинстве случаев речь идёт о стандартных картинках — например, логотипах и иконках открытых каналов. Однако среди найденных файлов также оказались изображения, которые публиковались в этих каналах, а также отдельные фотографии, которые, предположительно, могли отправляться пользователями.

В самой компании Max ситуацию прокомментировали так:

В телеграм-каналах распространяется фейк от пользователя одного развлекательного сайта о фото в МАХ. Это очередной наброс без подтверждений, который опровергли эксперты по кибербезопасности.
Личные фото недоступны никому, кроме владельца. Другие пользователи могут увидеть фото только если владелец добровольно поделится ими или ссылкой. Ссылку невозможно подобрать или сгенерировать.
Все данные пользователей национального мессенджера, включая фотографии, надёжно защищены.

Тем не менее выяснилось, что ссылки на изображения могут оставаться доступными даже после того, как пользователь удалил картинку из сообщения. Это связано с требованиями российского законодательства по хранению данных.

При этом доступ к серверам, где хранятся изображения, остаётся открытым: отсутствуют ограничения на перебор ссылок и нет блокировок, которые могли бы мешать скачиванию файлов по ключам или маскам.

Сами ссылки имеют вид i.oneme.ru/i?r= и содержат строку, закодированную в формате base64. Внутри неё зашита запись из трёх полей:

• 144 бита — заголовок неизвестного назначения;

• 128 бит — идентификатор изображения (теоретически его должно быть достаточно, чтобы исключить перебор);

• 128 бит — идентификатор пользователя — фактически ID чата, который можно определить, отправив изображение конкретному пользователю.

via