O Bot Mais Confiável do MAX Invadido: O Exploit do Bot Otlozhka Revelado
Um exploit recém-descoberto no bot Otlozhka, popular no mensageiro MAX, permitiu a um invasor enviar mensagens para centenas de canais. O incidente levanta sérias questões sobre a segurança de bots de terceiros e a eficácia de auditorias de segurança.
MundiX News·09 de junho de 2026·6 min de leitura·👁 7 views
Três meses atrás, alertei sobre uma vulnerabilidade no bot Ze-Post para o mensageiro MAX. Na época, descobri um exploit que permitia escrever comentários em nome de qualquer usuário do bot. Agora, uma nova falha de segurança surgiu, mas desta vez, foi explorada por outra pessoa de forma muito mais ostensiva.
O mensageiro MAX, sendo uma plataforma relativamente nova, apresenta lacunas evidentes em funcionalidades básicas, como comentários em posts de canais. Essa carência abriu espaço para desenvolvedores terceirizados. Um desses bots é o Otlozhka, que oferece funcionalidades de agendamento de posts e relatórios. Ambos os bots, para operar, exigem direitos de administrador nos canais dos usuários, uma prática comum para permitir a publicação em nome do canal.
Em 27 de maio, centenas de usuários do MAX se depararam com uma mensagem inesperada em seus chats. O bot Otlozhka enviou uma mensagem para diversos canais simultaneamente, com uma diferença de poucos minutos. A mensagem era direcionada a Evgeny Chudov, o proprietário do Otlozhka, e exigia contato pessoal via Telegram. O invasor, que se autodenominou um hacker, afirmou ter optado por não atacar canais de grande audiência como um gesto de boa vontade, demonstrando que, se ele pôde contornar a segurança, outros com intenções maliciosas poderiam fazer o mesmo, inclusive para disseminar publicidade de cassinos ou outros conteúdos indesejados. A lista de canais afetados incluía nomes de equipes esportivas renomadas e marcas automotivas de luxo, evidenciando a amplitude do ataque. O exploit explorou uma funcionalidade aparentemente simples: um botão "enviar para todos os canais" acessível a qualquer usuário do bot.
A ironia da situação se intensifica quando consideramos a campanha publicitária do MAX, que promovia um "auditoria de segurança realizada por especialistas líderes em cibersegurança na Rússia". Embora o termo "auditoria de segurança" possa sugerir um processo rigoroso e certificado, a realidade para startups com bots em mensageiros pode ser bem diferente. Auditorias de segurança profissionais, especialmente as que envolvem certificações como FSTEC ou FSB na Rússia, são procedimentos complexos e caros, geralmente encomendados por instituições financeiras e grandes corporações. A falta de detalhes sobre quem realizou a auditoria do Otlozhka e a natureza vaga da afirmação "especialistas líderes" levantam dúvidas sobre a profundidade e a credibilidade dessa verificação. O próprio hacker, de certa forma, realizou a auditoria mais evidente ao demonstrar a vulnerabilidade do sistema. Curiosamente, mesmo após o incidente, alguns anúncios promovendo a "super segurança" do Otlozhka continuaram a circular em comunidades online, com administradores justificando a veiculação por terem sido pagos pela publicidade, ignorando a indignação dos usuários.
Este não é um incidente isolado. No passado, outros bots populares em plataformas de mensagens enfrentaram falhas de segurança semelhantes. Em março de 2022, o Crosser Bot no Telegram foi comprometido, resultando em uma disseminação massiva de mensagens políticas anti-guerra em todos os canais conectados. Em julho de 2024, o Fleep Bot, outro serviço de agendamento de posts, também sofreu um ataque que resultou em uma distribuição generalizada de conteúdo indesejado. Em ambos os casos, a dinâmica foi a mesma: bots de terceiros, ao receberem direitos de administrador, revelaram a capacidade de realizar ações além de suas funções originais. Desenvolvedores de tais produtos devem priorizar a segurança desde o início, implementando medidas básicas de proteção, como plugins anti-brute force em sites, para se defender contra aqueles que testam suas defesas.
Após o ataque, o Otlozhka publicou três comunicados em seu canal de notícias: o primeiro alertando sobre o hack e pedindo para não clicar em links; o segundo informando que estavam investigando o problema; e o terceiro declarando que tudo havia sido corrigido. No entanto, a comunicação careceu de detalhes sobre a natureza da vulnerabilidade, como ela foi explorada e por que a funcionalidade "enviar para todos os canais" pôde ser abusada. Nenhuma palavra foi dita aos proprietários dos canais afetados. Embora a prioridade em uma crise seja a correção imediata, a comunicação pós-incidente foi superficial, tentando minimizar a gravidade do ocorrido. A campanha publicitária do Otlozhka, aliás, continua ativa.
O autor da matéria, que já tentou contato com os desenvolvedores do Ze-Post sem sucesso, apela à comunidade do MAX. Se você gerencia um canal no MAX e utiliza bots como o Otlozhka, é crucial estar ciente de que delegou sua segurança a terceiros. A recomendação não é abandonar o uso de bots, mas sim compartilhar ativamente essas experiências e alertar outros usuários sobre os riscos envolvidos, promovendo uma maior conscientização sobre as práticas de segurança e as empresas com as quais se interage.
Três meses atrás, alertei sobre uma vulnerabilidade no bot Ze-Post para o mensageiro MAX. Na época, descobri um exploit que permitia escrever comentários em nome de qualquer usuário do bot. Agora, uma nova falha de segurança surgiu, mas desta vez, foi explorada por outra pessoa de forma muito mais ostensiva.
O mensageiro MAX, sendo uma plataforma relativamente nova, apresenta lacunas evidentes em funcionalidades básicas, como comentários em posts de canais. Essa carência abriu espaço para desenvolvedores terceirizados. Um desses bots é o Otlozhka, que oferece funcionalidades de agendamento de posts e relatórios. Ambos os bots, para operar, exigem direitos de administrador nos canais dos usuários, uma prática comum para permitir a publicação em nome do canal.
Em 27 de maio, centenas de usuários do MAX se depararam com uma mensagem inesperada em seus chats. O bot Otlozhka enviou uma mensagem para diversos canais simultaneamente, com uma diferença de poucos minutos. A mensagem era direcionada a Evgeny Chudov, o proprietário do Otlozhka, e exigia contato pessoal via Telegram. O invasor, que se autodenominou um hacker, afirmou ter optado por não atacar canais de grande audiência como um gesto de boa vontade, demonstrando que, se ele pôde contornar a segurança, outros com intenções maliciosas poderiam fazer o mesmo, inclusive para disseminar publicidade de cassinos ou outros conteúdos indesejados. A lista de canais afetados incluía nomes de equipes esportivas renomadas e marcas automotivas de luxo, evidenciando a amplitude do ataque. O exploit explorou uma funcionalidade aparentemente simples: um botão "enviar para todos os canais" acessível a qualquer usuário do bot.
A ironia da situação se intensifica quando consideramos a campanha publicitária do MAX, que promovia um "auditoria de segurança realizada por especialistas líderes em cibersegurança na Rússia". Embora o termo "auditoria de segurança" possa sugerir um processo rigoroso e certificado, a realidade para startups com bots em mensageiros pode ser bem diferente. Auditorias de segurança profissionais, especialmente as que envolvem certificações como FSTEC ou FSB na Rússia, são procedimentos complexos e caros, geralmente encomendados por instituições financeiras e grandes corporações. A falta de detalhes sobre quem realizou a auditoria do Otlozhka e a natureza vaga da afirmação "especialistas líderes" levantam dúvidas sobre a profundidade e a credibilidade dessa verificação. O próprio hacker, de certa forma, realizou a auditoria mais evidente ao demonstrar a vulnerabilidade do sistema. Curiosamente, mesmo após o incidente, alguns anúncios promovendo a "super segurança" do Otlozhka continuaram a circular em comunidades online, com administradores justificando a veiculação por terem sido pagos pela publicidade, ignorando a indignação dos usuários.
Este não é um incidente isolado. No passado, outros bots populares em plataformas de mensagens enfrentaram falhas de segurança semelhantes. Em março de 2022, o Crosser Bot no Telegram foi comprometido, resultando em uma disseminação massiva de mensagens políticas anti-guerra em todos os canais conectados. Em julho de 2024, o Fleep Bot, outro serviço de agendamento de posts, também sofreu um ataque que resultou em uma distribuição generalizada de conteúdo indesejado. Em ambos os casos, a dinâmica foi a mesma: bots de terceiros, ao receberem direitos de administrador, revelaram a capacidade de realizar ações além de suas funções originais. Desenvolvedores de tais produtos devem priorizar a segurança desde o início, implementando medidas básicas de proteção, como plugins anti-brute force em sites, para se defender contra aqueles que testam suas defesas.
Após o ataque, o Otlozhka publicou três comunicados em seu canal de notícias: o primeiro alertando sobre o hack e pedindo para não clicar em links; o segundo informando que estavam investigando o problema; e o terceiro declarando que tudo havia sido corrigido. No entanto, a comunicação careceu de detalhes sobre a natureza da vulnerabilidade, como ela foi explorada e por que a funcionalidade "enviar para todos os canais" pôde ser abusada. Nenhuma palavra foi dita aos proprietários dos canais afetados. Embora a prioridade em uma crise seja a correção imediata, a comunicação pós-incidente foi superficial, tentando minimizar a gravidade do ocorrido. A campanha publicitária do Otlozhka, aliás, continua ativa.
O autor da matéria, que já tentou contato com os desenvolvedores do Ze-Post sem sucesso, apela à comunidade do MAX. Se você gerencia um canal no MAX e utiliza bots como o Otlozhka, é crucial estar ciente de que delegou sua segurança a terceiros. A recomendação não é abandonar o uso de bots, mas sim compartilhar ativamente essas experiências e alertar outros usuários sobre os riscos envolvidos, promovendo uma maior conscientização sobre as práticas de segurança e as empresas com as quais se interage.
