## Wayback Machine как вектор утечки данных: как временные ссылки MAX превращаются в постоянный архив
В марте 2026 года в сообществе безопасности развернулась дискуссия о критической уязвимости в мессенджере MAX: изображения из личных сообщений пользователей оказались доступны через снимки WebArchive, где они сохранялись по временным ссылкам. Ответ компании не удовлетворил обеспокоенных специалистов, однако, как следует из анализа, проблема носит системный характер и затрагивает не только MAX.

Автор публикации столкнулся с аналогичными уязвимостями при работе с другими компаниями, оповещая их о похожих паттернах. Суть проблемы — в сочетании двух факторов: архивирования контента через Wayback Machine и наличия IDOR-уязвимостей (Insecure Direct Object Reference), когда приложение не проверяет, имеет ли пользователь право на доступ к конкретному объекту. Временные ссылки, которые должны были «умирать» после закрытия чата, в случае попадания в веб-архив становились постоянными и общедоступными. Архив не делает различий между активными и устаревшими ссылками — для него каждая страница представляет историческую ценность.

Автор указывает, что связка «WebArchive + IDOR» формирует скрытую угрозу для компаний, эксплуатирующих динамические ссылки на контент. Проблема подрывает один из базовых механизмов защиты — багбаунти-программы, которые призваны перехватывать уязвимости, не обнаруженные внутренними командами безопасности. Если компании не осознают масштаб риска, временные ссылки продолжат попадать в архивы и становиться постоянными точками утечки чувствительного контента.
---
- **Source**: Habr
- **Sector**: The Lab
- **Tags**: IDOR, WebArchive, уязвимость, утечка данных, багбаунти
- **Credibility**: unverified
- **Published**: 2026-05-18 04:40:55
- **ID**: 84558
- **URL**: https://whisperx.ai/ru/intel/84558