Фронтенд-разработчик, представившийся как Егор, рассказал об уязвимости в механизме популярного бота для постинга в мессенджере Max, которая привела к тому, что неустановленный хакер смог получить доступ к десяткам каналов и отправлять сообщения от их имени.
Егор рассказал, что популярный бот «Отложка», требующий права администратора в каналах, содержит критическую уязвимость — бот может быть использован любым пользователем для рассылки сообщений от лица всех каналов, к которым этот бот был подключён.
27 мая во множестве каналов в Мах появилось одно и то же сообщение: в нём хакер обращался к создателю бота Евгению Чудову и заявлял, что бот позволяет любому пользователю отправлять сообщения от имени каналов, что, очевидно, может привести к тому, что любой злоумышленник может начать рассылать рекламу запрещённых ресурсов сразу по всем каналам, подключившим «Отложку».
Параллельно с этим в разных каналах в Мах можно было наблюдать рекламу «Отложки», в которой утверждалось, что бот прошёл аудит безопасности у ведущих специалистов.
После происшествия в канале самого бота появилось сообщение, в котором было сказано, что уязвимость уже устранена, а работа «Отложки» была восстановлена. При этом разработчики не уточнили, в чём именно заключалась уязвимость.
Эта ситуация случилась в первую очередь из-за того, что разработчики мессенджера пока не располагают всей необходимой функциональностью для администраторов каналов, поэтому им приходится добавлять нужные функции самостоятельно через сторонние решения.