В госмессенджере Max обнаружена уязвимость, которая позволяет злоумышленникам просматривать чужие фотографии и сообщения. Об этом сообщил один из белых хакеров, участвующих в программе по поиску багов в приложении. Эксперт отметил, что чаще всего такие уязвимости находят по вектору IDOR (Insecure Direct Object Reference) — механизму, при котором злоумышленник подменяет идентификатор объекта в запросе к серверу, получая доступ к данным, к которым не должен иметь права.
Ранее разработчики Max полностью отрицали возможность такого взлома, утверждая, что система защищена от подобных атак. Однако после проверки независимыми специалистами факт уязвимости подтвердился. Это ставит под угрозу конфиденциальность пользователей, включая государственных служащих, которые используют мессенджер для обмена служебной информацией.
Эксперты подчеркивают, что IDOR — одна из самых распространенных уязвимостей в современных приложениях, особенно в тех, где используется нестрогая проверка прав доступа. В случае с Max проблема может касаться не только личных данных, но и служебной переписки, что представляет серьезную угрозу для безопасности.
Разработчики мессенджера пока не комментируют инцидент, однако в ближайшее время ожидается обновление, которое должно устранить обнаруженную уязвимость. Пользователям рекомендуется временно воздержаться от передачи через Max конфиденциальной информации до выхода патча.
