MundiXMUNDIX WEB
Acesse o MAX sem Senha, SMS ou QR Code: Duas Comandos para Entrar
MAXMAX WebToken de AutenticaçãoSegurança da InformaçãoDevTools

Acesse o MAX sem Senha, SMS ou QR Code: Duas Comandos para Entrar

Descubra como acessar sua conta MAX na versão web utilizando apenas o token de autenticação armazenado no navegador. Um guia simples para contornar métodos tradicionais de login.

MundiX News·10 de junho de 2026·4 min de leitura·👁 3 views

Acesse o MAX sem precisar de senha, SMS ou QR Code. Este guia detalha como utilizar o token de autenticação, que o navegador armazena após o primeiro login, para acessar a versão web do MAX (web.max.ru) em outros navegadores ou dispositivos.

DISCLAIMER: Todo o conteúdo apresentado é para fins educacionais e informativos. Não se trata de um exploit ou de uma vulnerabilidade recém-descoberta. Os comandos utilizados são funcionalidades padrão do próprio MAX, que permanecem ativas. O autor não se responsabiliza por quaisquer ações realizadas com suas próprias credenciais. Utilize este método apenas em sua própria conta.

Parte 1: Obtendo o Token no Navegador Atual

  1. Abra o site web.max.ru e certifique-se de que você já está logado (com seus chats visíveis).

  2. Pressione Ctrl + Shift + J para abrir o console do navegador.

  3. Se for a primeira vez usando o console neste navegador, digite allow pasting e pressione Enter. Isso permite colar comandos no console.

  4. Copie e cole o seguinte comando no console e pressione Enter:

    javascript
    copy(JSON.parse(localStorage.__oneme_auth).token)

    Você verá undefined abaixo, indicando que o token foi copiado para a área de transferência.

    Alternativamente, para visualizar o token diretamente: Execute console.log(JSON.parse(localStorage.__oneme_auth).token). Uma longa string sem aspas aparecerá, que é o seu token.

    Para ver todo o armazenamento local: Execute console.log(localStorage.__oneme_auth). Você verá um objeto JSON contendo o token e outros dados. Copie apenas o valor associado à chave token, excluindo as aspas e outros campos como viewerId.

Parte 2: Inserindo o Token em Outro Navegador

  1. Abra o site web.max.ru no navegador onde você deseja fazer login. Você verá a tela de QR Code, indicando que não está logado.
  2. Pressione Ctrl + Shift + J para abrir o console.
  3. Se necessário, execute allow pasting e pressione Enter.
  4. Cole o seguinte comando no console e pressione Enter (não cole o token ainda): 
    javascript
    m=prompt('Вставьте токен');if(m){localStorage.setItem('__oneme_auth',JSON.stringify({token:m.trim()}));location.reload()}
  5. Uma janela pop-up aparecerá. Cole o token que você copiou na Parte 1 nesta janela e clique em OK.
  6. A página será recarregada e você estará logado em sua conta MAX.

Implicações da Sessão via Token:

O login via token é tratado pelo servidor como uma sessão legítima, similar ao login via QR Code. Isso significa que:

  • Enquanto a sessão não for explicitamente encerrada (clicando em "Sair" ou "Encerrar sessão em outros dispositivos"), o token permanecerá válido em todos os navegadores onde foi inserido.
  • Ao encerrar a sessão em um dispositivo, o token se torna inválido para todas as sessões ativas, não apenas para aquela que foi encerrada.

Fechar a aba do navegador é seguro, pois a sessão continua ativa. No entanto, a opção "Sair" invalida o token para todas as instâncias.

Este método demonstra como o MAX gerencia suas sessões web, acessível através das ferramentas de desenvolvedor do navegador (DevTools), e pode ser replicado em poucos segundos.

📤 Compartilhar & Baixar