Представители Max https://tass.ru/ekonomika/26675483 ТАСС ситуацию с доступностью фото из личных переписок по ссылке любому пользователю сети.
"Личные фото недоступны никому, кроме владельца. Другие пользователи могут увидеть фото, только если владелец добровольно поделится ими или ссылкой на них. Ссылку нельзя подобрать или сгенерировать",
- сказали в пресс-службе.
Пресс-служба заявила, что вся эта ситуация "" и она "опровергается ИБ-экспертами", а "все данные пользователей мессенджера, что касается и фото, надежно защищены".
Дополнение:
Мы тут посовещались, в том числе в комментариях. Получается, что даже с учетом того, что часть символов в уникальном ключе, который идентифицирует каждую картинку, может совпадать для определенного пользователя, более 20 символов в ключе выглядят все же случайными и уникальными даже для двух картинок, отправленных пользователем в один и тот же чат подряд, подобрать простым перебором даже два десятка символов, действительно, задача скорее нереалистичная даже для подготовленного злоумышленника. Так что в здесь представители Max абсолютно правы.
С другой стороны, в https://www.consultant.ru/document/cons_doc_LAW_195662/ есть такой пункт:
Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе персональных данных, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия
Значит ли это, что даже теорическую возможность несанционированного доступа по ссылке было бы в духе этого закона устранить, если есть такая возможность? По нашей логике, согласие на обработку персональных данных, которое дал пользователь, пересылая файл с фото своего паспорта через Макс своему родственнику, не распространяется на возможность доступа к его паспорту третьих лиц, получивших ссылку на файл потому, что она где-то закешировалась в браузере рабочего компьютера, на рабочем сервере или еще где-то. Конечно, это все должны трактовать юристы и специалисты по ИБ, коими мы не являемся.
Раз представители Max обратили внимание на ситуацию, хотелось бы, чтобы в одном из следующих обновлений в Max все же установили бы запрет на просмотр файлов в системе без авторизации. Получил ссылку на фото в Max - войди в свой аккаунт Max, чтобы просмотреть.
В нашем понимании, это значительно усилит безопасность Max, не позволит поисковым системам даже случайно индексировать передаваемые в личных сообщениях персональные данные, пусть даже эта ссылка засветится где-то еще. Также даже если злоумышленник перехватит ссылку на фото, он не сможет просмотреть ее содержимое без авторизации.
![Подслушано Ковров [ПК] Profile](/_next/image?url=https%3A%2F%2Fcdn.tgsaw.com%2Fchannels%2F092025%2Fkovrov_pk33.webp&w=256&q=75)
