И снова про макс⁠⁠

Личные фото из переписок в Max может смотреть кто угодно. В госмессенджере нашли серьёзную уязвимость: если знать прямую ссылку на изображение из веб-версии, его можно открыть без авторизации. Фактически файлы работают как обычные ссылки на хостинг.

То есть любой человек с прямой ссылкой может посмотреть персональные фото. При этом ссылки теоретически можно перебирать ботами. Под угрозой фото документов, карт и любые личные, в том числе интимные, снимки, сообщают эксперты.

Я проверил, все так. Фото лежат на домене маха, доступны по прямой ссылке