Фото в Max не исчезают: что скрывают прямые ссылки 📸

🕑 Время чтения: 5 мин. 📅 2 апреля 2026

Вы удалили снимок из чата. Удалил собеседник. Казалось бы, всё — следов нет. Но прямая ссылка помнит. И серверы Max — тоже.

6 марта 2026 года пользователи «Пикабу» подняли тревогу: изображения из личных переписок в национальном мессенджере Max остаются доступными по прямой ссылке даже после удаления. Журналисты проверили — и подтвердили: фото действительно открываются без авторизации, если у вас есть URL. Пресс-служба Max назвала это «набросом» и «фейком», но технические детали говорят об ином. Разбираемся, что происходит на самом деле, почему ссылка продолжает работать годами и как защитить свои данные.

  1. 🔍 Как обнаружили уязвимость: от «Пикабу» до федеральных СМИ
  2. 🧩 Механика проблемы: почему ссылка живёт дольше чата
  3. 🛡️ Официальная позиция Max: что говорят разработчики
  4. 🧪 Технический разбор: как проверить самостоятельно
  5. 📊 Контекст: Max и вопросы безопасности
  6. 🔐 Что это значит для пользователей: риски и последствия
  7. 🧭 Как защититься: практические рекомендации
  8. 💡 удаление — это иллюзия контроля
  9. 📌 Финал: ваша приватность — ваша ответственность
  10. ❓ FAQ: вопросы и ответы
  11. 📝 Выводы и советы

🔍 Как обнаружили уязвимость: от «Пикабу» до федеральных СМИ

Всё началось с поста пользователя под ником 5time на форуме «Пикабу». Он заметил: если зайти в веб-версию Max, открыть код страницы через инструменты разработчика и скопировать адрес изображения, то эта ссылка открывается в любом браузере — даже без входа в аккаунт. Более того, удаление фото из переписки не отключает ссылку: файл остаётся на сервере.

Информацию быстро подхватили журналисты. Издание «Борус» провело собственную проверку и подтвердило находку. AppleInsider.ru опубликовал пошаговую инструкцию, как любой пользователь может убедиться в этом самостоятельно. «Холод» и «Медуза» добавили технический анализ: ссылки действительно доступны без авторизации, но содержат уникальные подстроки длиной от 21 символа, что делает массовый перебор практически невозможным.

«На выходе, теоретически, в распоряжении третьих лиц окажутся скинутые нюдсы, сканы документов и всё, что угодно», — предупреждают журналисты.

Пресс-служба Max ответила резко: «Это очередной вброс без подтверждений, который опровергли эксперты по кибербезопасности». Но что именно опровергли — и что осталось без ответа?

🧩 Механика проблемы: почему ссылка живёт дольше чата

📎 Как работает хранение файлов в Max

Когда вы отправляете изображение в Max — будь то личная переписка, групповой чат или папка «Избранное» — файл загружается на отдельный веб-сервер и получает статичный адрес. Ссылки имеют формат https://i.oneme.ru/ с уникальным идентификатором. Этот URL встраивается в код страницы веб-версии и отображается в инструментах разработчика.

Ключевой момент: сервер отдаёт файл по ссылке без проверки авторизации. Если у кого-то есть URL — он откроет изображение. Без пароля. Без входа в аккаунт. Без уведомления владельца.

🗑️ Удаление в приложении ≠ удаление с сервера

Здесь кроется главная ловушка. Когда вы нажимаете «удалить» в чате, Max убирает сообщение из интерфейса — но ссылка на файл продолжает работать. Сервер не получает команду на физическое удаление медиафайла. Изображение остаётся в хранилище и доступно всем, кто сохранил или перехватил URL.

«Удаление сообщений не гарантирует, что файл исчезнет с серверов», — констатируют эксперты.

Представители Max объясняют это требованием российского законодательства о хранении данных. Закон обязывает мессенджеры сохранять информацию пользователей — но не уточняет, должен ли файл оставаться доступным по прямой ссылке после удаления из чата.

🔢 Можно ли подобрать ссылку перебором?

Пресс-служба Max утверждает: «Ссылку нельзя подобрать или сгенерировать». Технический разбор «Медузы» подтверждает: уникальная часть URL содержит не менее 21 символа, что даёт достаточную энтропию для защиты от brute-force атак. Простой перебор адресов не сработает — комбинаций слишком много.

Однако это не отменяет главного: если ссылка утекла — файл доступен. Источников утечки множество:

  • Скриншоты кода страницы
  • Перехват трафика
  • Вредоносные расширения браузера
  • Случайная публикация URL в открытом доступе
  • Архивация страниц сторонними сервисами

В Архиве Интернета уже обнаружены тысячи таких ссылок — преимущественно из публичных каналов, но сам факт индексации вызывает вопросы.

🛡️ Официальная позиция Max: что говорят разработчики

Пресс-служба мессенджера опубликовала развёрнутый комментарий для «Российской газеты» и других изданий. Основные тезисы:

Утверждение MaxРеальность
«Личные фото недоступны никому, кроме владельца»Фото доступно по прямой ссылке без авторизации
«Ссылку нельзя подобрать»Подтверждено: энтропия защищает от перебора
«Ссылку нельзя сгенерировать»Ссылка генерируется автоматически при загрузке
«Все данные надёжно защищены»Защита от перебора есть, но файл открыт по URL

Max подчёркивает: проблема надумана, а сообщения об уязвимости — часть информационной кампании против национального мессенджера. При этом компания не отрицает, что файлы хранятся на отдельных серверах и получают прямые адреса.

«Другие пользователи могут увидеть фото, только если владелец добровольно поделится ими или ссылкой на них», — цитирует ТАСС заявление пресс-службы.

Формально это правда. Но владелец может поделиться ссылкой неосознанно — через скриншот, лог браузера или вредоносное ПО. И даже после удаления чата ссылка продолжит работать.

🧪 Технический разбор: как проверить самостоятельно

Хотите убедиться своими глазами? Вот алгоритм, который описывают эксперты:

  1. Откройте веб-версию Max и войдите в аккаунт
  2. Найдите любое фото в переписке или отправьте изображение в «Избранное»
  3. Нажмите Ctrl+Shift+C — откроются инструменты разработчика
  4. Кликните на изображение — в коде выделится тег с адресом файла
  5. Скопируйте URL (начинается на https://i.oneme.ru/)
  6. Откройте новую вкладку в режиме инкогнито и вставьте ссылку

Фото откроется. Без авторизации. Теперь удалите изображение из чата и попробуйте снова — ссылка продолжит работать.

Важно: проведение таких проверок не нарушает правила Max, но помните: вы работаете с собственными данными. Не публикуйте чужие ссылки и не распространяйте файлы без согласия владельца.

📊 Контекст: Max и вопросы безопасности

Max позиционируется как «национальный мессенджер» с максимальной защитой данных. Власти продвигают его как безопасную альтернативу зарубежным платформам, одновременно ограничивая работу конкурентов. Мессенджер стал обязательным для авторизации на «Госуслугах», его внедрили в школах, управляющих компаниях и госучреждениях.

Однако с момента запуска Max неоднократно сталкивался с критикой:

  • Приложение проверяет наличие ***-соединения на устройстве
  • Пользователи сообщали о доступе к контактам, галерее, микрофону и камере
  • В январе 2026 года хакеры заявили о полной компрометации Max через 0-day уязвимость
  • Появился спрос на «максофоны» — дешёвые смартфоны с удалёнными камерами и микрофонами исключительно для Max

Ситуация с фотографиями добавила масла в огонь. Даже если прямая угроза массового перебора отсутствует, сам факт хранения личных файлов по открытым ссылкам вызывает вопросы у экспертов по информационной безопасности.

🔐 Что это значит для пользователей: риски и последствия

🎯 Кому стоит беспокоиться в первую очередь

Не все пользователи Max находятся в одинаковой зоне риска. Особое внимание следует уделить безопасности, если вы:

  • Пересылали через Max сканы документов, паспортов, договоров
  • Отправляли личные фотографии, не предназначенные для посторонних
  • Использовали Max для рабочей переписки с конфиденциальной информацией
  • Делали скриншоты кода страницы или делились ссылками
  • Устанавливали сторонние расширения браузера при работе с веб-версией

«Не отправляйте через MAX документы и фото, которые не должны попасть к чужим», — рекомендуют эксперты.

🌐 Откуда может прийти угроза

Прямой перебор ссылок невозможен — это подтверждают и независимые аналитики. Но угроза исходит не от brute-force атак. Реальные риски:

Источник угрозыМеханизм
Вредоносные расширенияСобирают URL из кода страницы
Перехват трафикаСниффинг незашифрованных запросов
Скриншоты и логиСсылка сохраняется в истории браузера
Архивация страницВеб-архивы индексируют открытые URL
Утечка через собеседникаВторая сторона сохранила ссылку

Ссылка — это ключ. И если ключ попал в чужие руки, замок не поможет.

🧭 Как защититься: практические рекомендации

Max не даёт инструментов для принудительного удаления файлов с сервера. Но вы можете снизить риски:

✅ Что делать прямо сейчас

  1. Проведите аудит переписок. Проверьте чаты и «Избранное» на наличие чувствительных файлов. Удалите сообщения — это не гарантирует удаление с сервера, но убирает файл из интерфейса.
  2. Не используйте Max для конфиденциальных данных. Документы, личные фото, сканы — отправляйте через мессенджеры с end-to-end шифрованием и функцией самоуничтожения файлов.
  3. Очистите историю браузера. Если работали с веб-версией, удалите кэш, cookies и историю — там могут сохраниться ссылки.
  4. Проверьте расширения. Отключите подозрительные плагины, которые имеют доступ к содержимому страниц.
  5. Предупредите собеседников. Если отправляли файлы, попросите вторую сторону не сохранять и не распространять ссылки.

🔒 Альтернативы для приватной переписки

Эксперты рекомендуют использовать мессенджеры с полным шифрованием и прозрачной политикой удаления данных. Обратите внимание на:

  • Секретные чаты с end-to-end шифрованием
  • Функцию самоуничтожения сообщений и файлов
  • Открытый исходный код и независимые аудиты безопасности
  • Чёткие сроки удаления контента с серверов

«Если нужна приватность — используйте мессенджеры с полным шифрованием», — советует AppleInsider.ru.

💡 удаление — это иллюзия контроля

Мы привыкли думать: нажал «удалить» — и файл исчез. Но в цифровом мире удаление часто означает лишь «скрыть из интерфейса». Серверы помнят. Ссылки живут. Архивы сохраняют. И пока файл доступен по URL — он не ваш. Он принадлежит тому, у кого есть ссылка.

Max не уникален в этом. Подобные практики встречаются у многих платформ — от социальных сетей до облачных хранилищ. Но когда мессенджер позиционируется как «самый безопасный» и становится обязательным для миллионов пользователей, требования к прозрачности возрастают на порядок.

Вопрос не в том, можно ли подобрать ссылку. Вопрос в том, почему личные файлы вообще получают открытые адреса без проверки доступа. И почему удаление из чата не отзывает доступ по URL. Это не «наброс». Это архитектура. И она требует пересмотра.

📌 Финал: ваша приватность — ваша ответственность

Max опровергает. Эксперты спорят. Ссылки работают. Пока разработчики не внедрят проверку авторизации для медиафайлов и не привяжут удаление с сервера к удалению из чата, риски остаются. Не ждите официальных заявлений. Действуйте сейчас.

Проверьте свои чаты. Удалите чувствительные файлы. Перестаньте отправлять то, что не должно попасть в чужие руки. И помните: в цифровом мире следы остаются всегда — даже когда вы уверены, что стёрли их.

❓ FAQ: вопросы и ответы

🔸 Фото в Max действительно доступны всем по ссылке?

Фото доступно по прямой ссылке без авторизации, если у вас есть полный URL. Подобрать ссылку перебором практически невозможно из-за высокой энтропии уникальной части адреса.

🔸 Почему ссылка продолжает работать после удаления фото?

Удаление сообщения в приложении не удаляет файл с сервера. Ссылка остаётся активной, так как сервер продолжает отдавать файл по URL. Это связано с требованиями законодательства о хранении данных.

🔸 Можно ли удалить фото с сервера Max полностью?

На данный момент Max не предоставляет пользователям инструментов для принудительного удаления файлов с сервера. Удаление из чата убирает сообщение из интерфейса, но не отзывает доступ по ссылке.

🔸 Опасно ли использовать Max для личных переписок?

Риск зависит от типа передаваемых данных. Для обычных сообщений угроза минимальна. Однако отправлять документы, сканы и конфиденциальные фото не рекомендуется — они могут остаться доступными по ссылке даже после удаления.

🔸 Что говорит официальная пресс-служба Max?

Max называет сообщения об уязвимости «фейком» и «набросом». Компания утверждает, что личные фото доступны только владельцу, а ссылку нельзя подобрать или сгенерировать. При этом наличие прямых ссылок на файлы не отрицается.

🔸 Как проверить, доступна ли моя фотография по ссылке?

Откройте веб-версию Max, найдите фото, скопируйте адрес через инструменты разработчика и попробуйте открыть ссылку в режиме инкогнито. Если фото загружается — оно доступно без авторизации.

🔸 Защищены ли ссылки от перебора?

Да. Уникальная часть ссылки содержит не менее 21 символа, что обеспечивает достаточную энтропию для защиты от brute-force атак. Массовый перебор адресов невозможен.

🔸 Есть ли аналоги такой проблемы у других мессенджеров?

Подобные практики хранения файлов по прямым ссылкам встречаются у многих платформ. В 2010-х годах аналогичная проблема была у «ВКонтакте», когда закрытые альбомы открывались по URL.

🔸 Что делать, если я уже отправил конфиденциальные фото?

Удалите сообщения из чата, очистите историю браузера, проверьте расширения на наличие подозрительных плагинов. В будущем используйте мессенджеры с end-to-end шифрованием для передачи чувствительных данных.

🔸 Планирует ли Max исправить эту проблему?

На момент публикации статьи официальных заявлений о планах по изменению архитектуры хранения файлов не поступало. Пресс-служба продолжает отрицать наличие уязвимости.

📝 Выводы и советы

  1. Ссылка — это доступ. Если URL утекает, файл становится доступен любому, у кого есть ссылка. Защищайте ссылки так же, как пароли.
  2. Удаление в чате не равно удалению с сервера. Max сохраняет файлы после удаления сообщений. Учитывайте это при передаче конфиденциальных данных.
  3. Перебор невозможен, но утечка реальна. Высокая энтропия защищает от массовых атак, но не от целенаправленного перехвата или случайной публикации ссылки.
  4. Аудит — ваша защита. Регулярно проверяйте переписки, удаляйте чувствительные файлы, очищайте историю браузера и отключайте подозрительные расширения.
  5. Выбирайте инструменты осознанно. Для приватной переписки используйте мессенджеры с прозрачной политикой безопасности, end-to-end шифрованием и функцией полного удаления данных.

Статья основана на открытых источниках: материалы «Пикабу», «Медуза», «Холод», «Российская газета», AppleInsider.ru, Habr. Все ссылки проверены на актуальность. Информация отражает ситуацию на март 2026 года.

Просмотров: 63 👁️ | Реакций: 2 ❤️

Оставить комментарий