Vulnerabilidade no Max Web: Imagens de Mensagens Privadas Expostas por Links Diretos
Um usuário descobriu uma falha de segurança na versão web do Max, permitindo o acesso a imagens de mensagens privadas por meio de links diretos, mesmo sem autenticação. A falha expõe dados sensíveis e levanta preocupações sobre a segurança dos usuários.
MundiX News·18 de maio de 2026·1 min de leitura·👁 5 views
Um usuário do portal Pikabu, sob o pseudônimo 5time, revelou uma vulnerabilidade na versão web do Max, um serviço de mensagens. A falha permite que imagens enviadas em mensagens privadas sejam acessadas por meio de links diretos, sem a necessidade de autenticação no serviço. Isso significa que qualquer pessoa com o link da imagem pode visualizá-la, mesmo que não tenha acesso à conversa original.
A descoberta destaca uma falha crítica na segurança do Max. Ao enviar uma foto para alguém ou para si mesmo, é possível acessar a versão web do Max, inspecionar o código da página (usando, por exemplo, Ctrl+Shift+C), copiar o link da imagem e abri-lo em outro navegador ou dispositivo sem estar logado. A vulnerabilidade é agravada pelo fato de que, mesmo após a exclusão da imagem da conversa, o link direto permanece ativo por um período considerável, potencialmente por uma semana ou mais, conforme relatado pelo usuário.
Especialistas em segurança da informação alertam para o risco de exploração dessa falha. Se um atacante obtiver o endereço web exato de uma imagem no Max, ele pode visualizá-la de forma semelhante a sites de compartilhamento de imagens. A ausência de proteção contra tentativas de acesso por força bruta (brute-force) e a possibilidade de bots e ferramentas automatizadas explorarem a falha aumentam a gravidade da situação. A falha contrasta com a segurança robusta de outros serviços, como o Telegram, onde os dados pessoais são protegidos de forma mais rigorosa. A equipe de segurança do Max foi contatada para comentar o assunto, mas ainda não se pronunciou oficialmente sobre o caso.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Um usuário do portal Pikabu, sob o pseudônimo 5time, revelou uma vulnerabilidade na versão web do Max, um serviço de mensagens. A falha permite que imagens enviadas em mensagens privadas sejam acessadas por meio de links diretos, sem a necessidade de autenticação no serviço. Isso significa que qualquer pessoa com o link da imagem pode visualizá-la, mesmo que não tenha acesso à conversa original.
A descoberta destaca uma falha crítica na segurança do Max. Ao enviar uma foto para alguém ou para si mesmo, é possível acessar a versão web do Max, inspecionar o código da página (usando, por exemplo, Ctrl+Shift+C), copiar o link da imagem e abri-lo em outro navegador ou dispositivo sem estar logado. A vulnerabilidade é agravada pelo fato de que, mesmo após a exclusão da imagem da conversa, o link direto permanece ativo por um período considerável, potencialmente por uma semana ou mais, conforme relatado pelo usuário.
Especialistas em segurança da informação alertam para o risco de exploração dessa falha. Se um atacante obtiver o endereço web exato de uma imagem no Max, ele pode visualizá-la de forma semelhante a sites de compartilhamento de imagens. A ausência de proteção contra tentativas de acesso por força bruta (brute-force) e a possibilidade de bots e ferramentas automatizadas explorarem a falha aumentam a gravidade da situação. A falha contrasta com a segurança robusta de outros serviços, como o Telegram, onde os dados pessoais são protegidos de forma mais rigorosa. A equipe de segurança do Max foi contatada para comentar o assunto, mas ainda não se pronunciou oficialmente sobre o caso.
📤 Compartilhar & Baixar
📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
