📸 Личные фото из Max утекают по прямым ссылкам: что известно об уязвимости и как защититься

🕑 Время чтения: 5 мин. 📅 2 апреля 2026

🔥 Первое, что нужно понять: ваши фотографии в Max — это не приватные файлы. Это публичные ссылки, которые работают без пароля, без входа в аккаунт и даже после удаления из чата. Звучит как техническая ошибка? Возможно. Но последствия — реальные.

Пользователь с ником 5time на Pikabu показал: откройте веб-версию Max, найдите в коде ссылку на изображение, вставьте в другой браузер — и фото откроется. Без авторизации. Без доступа к переписке. Как обычный хостинг картинок, только с вашими личными снимками.

Разработчики Max назвали это «фейком» и заявили, что ссылки «нельзя подобрать или сгенерировать». Но независимые проверки подтвердили: уязвимость существует, ссылки работают, а удаление фото из чата не аннулирует доступ. В Архиве Интернета уже обнаружены тысячи таких изображений.

  1. 🔍 Как работает уязвимость в Max: техническая суть проблемы
  2. ⚠️ Какие данные под ударом: от паспортов до медицинских справок
  3. 🛡️ Почему это опасно: сценарии злоупотребления уязвимостью
  4. 📢 Реакция разработчиков: отрицание вместо исправления
  5. 🧭 Что делать прямо сейчас: практические рекомендации
  6. 🌐 Контекст: Max в экосистеме российских сервисов
  7. 💡 Технические детали: как устроена защита в других мессенджерах
  8. 🧪 Как проверить себя: пошаговая инструкция
  9. 🎯 Кульминационный вывод: приватность — это архитектура, а не обещания
  10. ✅ Выводы и рекомендации: что важно запомнить
  11. ❓ FAQ: ответы на частые вопросы

🔍 Как работает уязвимость в Max: техническая суть проблемы

🧩 Прямые ссылки без проверки прав доступа

Когда вы отправляете фото в Max, система генерирует URL вида https://i.oneme.ru/i?r=.... Этот адрес не привязан к сессии, не требует токена авторизации и не проверяет, является ли запрашивающий легитимным получателем сообщения.

Фактически изображение превращается в публичный файл. Любой, кто знает ссылку, может открыть её в любом браузере, на любом устройстве — даже без аккаунта в Max.

«Если злоумышленнику известен точный веб-адрес изображения из веб-версии Max, он сможет его просмотреть примерно как в случае с сайтами для обмена изображениями. Авторизация в Max для этого не требуется».

📋 Структура URL и риски перебора

Самое тревожное: большая часть ссылки остаётся одинаковой для всех файлов одного пользователя. Это создаёт предсказуемый паттерн, который теоретически позволяет автоматизировать поиск.

Боты и парсеры могут сканировать диапазоны адресов, собирая изображения без ведома владельцев. Да, полная ссылка длинная, но если часть параметров статична — энтропия снижается, а риски растут.

🗑️ Удаление не удаляет: файлы живут после «очистки» чата

Удалили фото из переписки? Ссылка продолжает работать. По данным первооткрывателя уязвимости, изображения остаются доступными минимум неделю после удаления. Другие источники указывают: файлы могут сохраняться на серверах неопределённо долго.

Это означает: «очистить следы» в Max — иллюзия. Если ссылка утекла, файл остаётся в зоне риска.

⚠️ Какие данные под ударом: от паспортов до медицинских справок

📄 Документы и удостоверения личности

Через Max пользователи пересылают сканы паспортов, водительских прав, СНИЛС. Теперь представьте: прямая ссылка на такой файл работает без защиты. Достаточно одного перехвата — и документ доступен посторонним.

Под угрозой:

  • Паспортные данные и прописка;
  • Водительские удостоверения;
  • Свидетельства о рождении детей;
  • Военные билеты и справки.

💳 Банковские карты и финансовые данные

Фото банковской карты с номером, сроком действия и CVV — классический сценарий утечки. Мошенники используют такие изображения для онлайн-платежей, оформления кредитов, социальной инженерии.

Max не шифрует медиафайлы сквозным шифрованием. Это значит: файлы хранятся на серверах в открытом виде, доступном по прямой ссылке.

🏥 Медицинские документы и справки

Результаты анализов, выписки из больниц, рецепты, заключения врачей — всё это попадает в категорию чувствительных персональных данных. Утечка такой информации нарушает не только приватность, но и законодательство о защите персональных данных.

👨‍👩‍👧‍👦 Личные фотографии и приватные снимки

Семейные фото, изображения детей, приватные снимки — всё, что вы отправляли в личных сообщениях, потенциально доступно по ссылке. Даже если вы уверены, что «никому не давали ссылку», риски остаются:

  • Браузеры могут индексировать посещённые URL;
  • Корпоративные прокси логируют запросы;
  • Вредоносное ПО перехватывает историю;
  • Ссылки могут попасть в поисковые индексы через сторонние сервисы.

🛡️ Почему это опасно: сценарии злоупотребления уязвимостью

🤖 Автоматический перебор ботами

Предсказуемая структура ссылок открывает путь для автоматизированного сбора изображений. Скрипты могут:

  • Перебирать диапазоны параметров;
  • Собирать файлы массово;
  • Классифицировать контент с помощью компьютерного зрения;
  • Искать лица, документы, карты для последующего misuse.

На Habr пользователи продемонстрировали: за 6 минут с одного IP удалось скачать почти 10 000 файлов без блокировки. Среди них — аватарки, документы, изображения из каналов госучреждений.

🔍 Индексация поисковыми системами и архивами

Ссылки могут попадать в индексы:

  • Wayback Machine уже содержит тысячи изображений из Max;
  • Поисковые краулеры сканируют открытые URL;
  • Сторонние парсеры каналов публикуют ссылки в открытом доступе.

Однажды проиндексированная ссылка остаётся в сети навсегда. Удалить её из архивов и кэшей практически невозможно.

🎯 Целевые атаки и социальная инженерия

Злоумышленник, получивший ссылку на документ, может:

  • Использовать данные для фишинга;
  • Имитировать владельца в переписке;
  • Шантажировать приватными материалами;
  • Продавать информацию на теневых площадках.

В январе 2026 года хакер на DarkForums заявил о полном взломе Max и утечке 15,4 млн записей пользователей. Уязвимость с прямыми ссылками усугубляет риски: даже без взлома аккаунта файлы доступны по URL.

📢 Реакция разработчиков: отрицание вместо исправления

🚫 Официальная позиция Max

Пресс-служба Max сообщила Хабру: «Личные фото недоступны никому, кроме владельца аккаунта». По версии разработчиков, другие пользователи могут увидеть фото только если владелец «добровольно поделится ими или ссылкой».

Также утверждается: «Ссылку нельзя подобрать или сгенерировать. Все данные пользователей надёжно защищены».

🔬 Что говорят независимые эксперты

Реальность противоречит заявлениям:

  • Ссылки открываются без авторизации — подтверждено многократно;
  • Удаление из чата не аннулирует URL — проверено пользователями;
  • Структура ссылок содержит повторяющиеся паттерны — видно в коде;
  • Архивы уже содержат тысячи изображений — факт.

«Для сравнения: в Telegram все личные данные защищены не просто надёжно. Медиафайлы требуют валидации доступа через токены сессии».

📉 История повторяется: уроки VK

Аналогичная уязвимость ранее существовала во ВКонтакте. Там изображения из личных сообщений также были доступны по прямым ссылкам без проверки прав. VK постепенно внедрила ключи доступа в URL, но проблема сохранялась годами.

Max, судя по всему, унаследовал архитектурные решения VK — включая их слабые места.

🧭 Что делать прямо сейчас: практические рекомендации

🚫 Не отправляйте чувствительные данные через Max

Пока уязвимость не закрыта, воздержитесь от пересылки:

  • Паспортов, прав, СНИЛС;
  • Фото банковских карт;
  • Медицинских документов;
  • Приватных фотографий;
  • Рабочих документов с конфиденциальной информацией.

Любое изображение, отправленное через Max, следует считать потенциально публичным.

🔒 Используйте защищённые альтернативы

Для приватной переписки выбирайте мессенджеры со сквозным шифрованием:

  • Telegram — секретные чаты с E2EE, медиафайлы защищены токенами доступа;
  • Signal — полное шифрование по умолчанию;
  • WhatsApp — E2EE для всех сообщений и файлов.

В этих системах прямые ссылки на медиа не работают без авторизации и валидации сессии.

🧹 Проверьте историю переписки

Если вы уже отправляли документы через Max:

  • Удалите сообщения (хотя это не гарантирует удаление файлов с сервера);
  • Смените пароли, если пересылали учётные данные;
  • Заблокируйте карты, если отправляли их фото;
  • Мониторьте утечки персональных данных.

Помните: удаление в приложении ≠ удаление на сервере.

📱 Настройте безопасность аккаунта

В настройках Max доступны:

  • Двухфакторная аутентификация;
  • «Безопасный режим»;
  • «Семейная защита».

Эти меры не закрывают уязвимость с прямыми ссылками, но снижают риски компрометации аккаунта.

🌐 Контекст: Max в экосистеме российских сервисов

📊 Что такое Max и кто его развивает

Max — национальный мессенджер, позиционируемый как замена WhatsApp и Telegram. Разрабатывается ООО «Коммуникационная платформа», связанной с VK.

Сервис интегрирует:

  • Мессенджер и звонки;
  • Доступ к Госуслугам;
  • Цифровую идентификацию;
  • Платёжные системы;
  • Бизнес-инструменты.

📈 Масштаб и принудительное внедрение

С февраля 2026 года, после ограничений доступа к Meta, аудитория Max выросла до 100 млн пользователей. Мессенджер предустанавливается на смартфоны в России, продвигается через госпрограммы.

Пользователи с «льготным статусом» получают скидки в культурных учреждениях при использовании Max.

🔓 Критика безопасности и приватности

Исследователи отмечают:

  • Отсутствие сквозного шифрования;
  • «Чрезмерное отслеживание» пользователей;
  • Автоподписку на каналы без согласия;
  • Блокировку неофициальных клиентов.

В ноябре 2025 года RSF предупредила: сообщения в Max не зашифрованы, российские спецслужбы могут читать переписку.

💡 Технические детали: как устроена защита в других мессенджерах

🔐 Telegram: токены доступа и file_reference

В Telegram медиафайлы защищены многоуровнево:

  • Ссылки содержат временные токены;
  • Доступ проверяется через file_reference;
  • URL привязан к сессии и истекает;
  • Без авторизации файлы недоступны.

Веб-версия использует MTProto over WebSocket, а не прямые HTTP-ссылки. Это исключает доступ к файлам без валидации прав.

🛡️ WhatsApp: blob-ссылки и E2EE

В WhatsApp веб-версия использует blob: URL, которые:

  • Генерируются локально в браузере;
  • Не передаются на сервер как публичные ссылки;
  • Требуют активного соединения с основным устройством;
  • Защищены сквозным шифрованием.

Файлы не хранятся на серверах в открытом виде.

📋 Сравнение архитектур

ПараметрMaxTelegramWhatsApp
Прямые ссылки без авторизации✅ Да❌ Нет❌ Нет
Сквозное шифрование❌ Нет✅ Секретные чаты✅ Все чаты
Удаление с сервера❌ Не гарантировано✅ Да✅ Да
Защита от перебора⚠️ Под вопросом✅ Есть✅ Есть
Токены доступа❌ Нет✅ Да✅ Да

🧪 Как проверить себя: пошаговая инструкция

🔎 Найдите ссылки на свои изображения

  1. Откройте веб-версию Max в браузере;
  2. Войдите в аккаунт;
  3. Найдите любое фото в переписке или «Избранном»;
  4. Нажмите Ctrl+Shift+C для открытия DevTools;
  5. Кликните на изображение — в коде выделится тег с URL;
  6. Скопируйте адрес (начинается с https://i.oneme.ru/).

🧪 Проверьте доступ без авторизации

  1. Откройте режим инкогнито или другой браузер;
  2. Вставьте скопированную ссылку;
  3. Если фото открылось — уязвимость подтверждена.

Попробуйте удалить изображение из чата и снова открыть ссылку. Скорее всего, файл останется доступным.

📝 Зафиксируйте результаты

Сделайте скриншоты, сохраните ссылки. Это поможет:

  • Оценить масштаб риска;
  • Принять решение о смене мессенджера;
  • Обратиться в поддержку при необходимости.

🎯 Кульминационный вывод: приватность — это архитектура, а не обещания

Max демонстрирует классическую ошибку: безопасность декларируется, но не реализуется на уровне архитектуры. Прямые ссылки без проверки прав — это не «мелкий баг». Это фундаментальный просчёт, который ставит под удар миллионы пользователей.

Разработчики могут утверждать, что «ссылку нельзя подобрать». Но безопасность не должна полагаться на «сложность подбора». Она должна гарантировать: без прав доступа — нет данных. Точка.

Пока Max не внедрит токены доступа, проверку сессий и гарантированное удаление файлов — любые заявления о «надёжной защите» остаются пустыми словами. Ваши фото, документы, карты — в зоне риска. И это не теория. Это подтверждённый факт.

✅ Выводы и рекомендации: что важно запомнить

  1. Уязвимость реальна. Изображения из Max доступны по прямым ссылкам без авторизации.
  2. Удаление не помогает. Файлы остаются на серверах после очистки чата.
  3. Риски масштабны. Под ударом документы, карты, медицинские справки, приватные фото.
  4. Перебор возможен. Предсказуемая структура ссылок открывает путь для ботов.
  5. Архивы уже содержат данные. Wayback Machine индексирует изображения из Max.
  6. Разработчики отрицают. Официальная позиция противоречит фактам.
  7. Альтернативы есть. Telegram, Signal, WhatsApp обеспечивают реальную защиту.
  8. Действуйте сейчас. Не отправляйте чувствительные данные через Max.
  9. Проверьте себя. Используйте DevTools для поиска своих ссылок.
  10. Требуйте исправления. Безопасность — право пользователя, а не опция.

❓ FAQ: ответы на частые вопросы

Вопрос: Работает ли уязвимость в мобильном приложении Max?

Уязвимость обнаружена в веб-версии, но ссылки генерируются на сервере и работают независимо от клиента. Если ссылка получена через веб-интерфейс, она откроется в любом браузере.

Вопрос: Можно ли подобрать ссылку на чужое фото?

Полная ссылка длинная, но структура содержит повторяющиеся паттерны для файлов одного пользователя. Это снижает энтропию и теоретически позволяет автоматизированный поиск. Независимые тесты показали: массовый сбор файлов возможен без блокировки.

Вопрос: Удаляются ли фото с сервера после удаления из чата?

Нет. По данным пользователей, ссылки остаются активными минимум неделю после удаления. Другие источники указывают: файлы могут сохраняться неопределённо долго.

Вопрос: Защищены ли документы лучше, чем обычные фото?

Нет. Все изображения обрабатываются одинаково. Скан паспорта и семейное фото получают одинаковые прямые ссылки без дополнительной защиты.

Вопрос: Что говорит официальная поддержка Max?

Пресс-служба назвала сообщения об уязвимости «фейком» и заявила, что «личные фото недоступны никому, кроме владельца». Также утверждается, что «ссылку нельзя подобрать или сгенерировать».

Вопрос: Есть ли сквозное шифрование в Max?

Нет. Исследователи подтверждают отсутствие end-to-end encryption. Сообщения и файлы хранятся на серверах в открытом виде. Это отличает Max от Telegram (секретные чаты) и WhatsApp (E2EE по умолчанию).

Вопрос: Можно ли использовать Max для рабочих документов?

Не рекомендуется. Прямые ссылки на файлы работают без авторизации, что создаёт риски утечки конфиденциальной информации. Для корпоративной переписки выбирайте решения с проверенной безопасностью.

Вопрос: Как защитить аккаунт Max?

В настройках доступны двухфакторная аутентификация, «Безопасный режим» и «Семейная защита». Эти меры не закрывают уязвимость с прямыми ссылками, но снижают риски компрометации аккаунта.

Вопрос: Куда сообщать о проблемах безопасности?

Официальный сайт Max: max.ru. Справка и поддержка: help.max.ru. Также можно обратиться через каналы VK, так как Max связан с экосистемой ВКонтакте.

Вопрос: Когда закроют уязвимость?

На момент публикации разработчики не анонсировали исправление. Официальная позиция — отрицание проблемы. Следите за обновлениями в официальных каналах Max.

🔚 Финальная мысль: приватность в мессенджере — это не настройка, а базовая архитектура. Если файлы доступны по ссылке без проверки прав, никакие заявления о «защите» не меняют сути. Max пока не прошёл этот тест. Ваши данные заслуживают большего. Выбирайте инструменты, которые уважают ваше право на приватность — не на словах, а в коде. 💪

Просмотров: 955 👁️ | Реакций: 10 ❤️

Оставить комментарий