В веб-версии MAX обнаружили сохранение токена сессии
Пользователь платформы Habr под ником sansmaster обратил внимание на особенность веб-версии мессенджера MAX. После входа в аккаунт через web.max.ru браузер сохраняет токен сессии в локальном хранилище.
Этот токен можно извлечь через консоль разработчика и перенести на другой компьютер или браузер. При перезагрузке страницы веб-версия автоматически открывается под той же учётной записью без повторного ввода пароля, СМС-кода или сканирования QR-кода.
Автор публикации отметил, что речь идёт о штатном механизме браузера, который используется и в других веб-сервисах. Однако публикация вызвала дискуссию, так как получить доступ к токену через DevTools оказалось достаточно просто.
Для переноса сессии злоумышленнику необходим физический доступ к устройству или браузеру жертвы с активной сессией MAX. Если пользователь выйдет из аккаунта или завершит сессию через настройки, токен станет недействительным на всех устройствах.
