Как был взломан “самый надежный” бот в мессенджере MAX? Эксплойт бота Отложка

Три месяца назад я предупреждал о дыре в боте для MAX. Тогда я обнаружил эксплойт в известном боте для мессенджера, и хотел достучаться до разработчиков бота. Теперь нашлась новая дыра в безопасности – но в неё куда громче залез уже другой человек.

Приветствую, Хабр!
Моё имя Егор, и если вы вдруг читали мою прошлую статью – добро пожаловать обратно.Если нет, коротко повторюсь: я фронтенд разработчик с лютой привычкой смотреть как работают чужие проекты. Три месяца назад я нашёл дыру в безопасности в боте Ze-Post который работал в мессенджере Max:

В общем, эксплойт позволял писать в комментариях от имени любого пользователя бота. Любой комментарий от лица аккаунта. Какие это несет риски – воображайте сами»

Когда выложил статью на Хабре я очень надеялся, что это как-то повлияет на ситуацию: до разработчика дойдёт статья, и он наконец исправит проблему; другие люди из сообщества сделают выводы, их коллеги поймут для себя какие есть слабые места и укрепят их, и волшебными силами комьюнити Хабра всё закончится.

Введу вас в контекст, без которого дальнейшее будет непонятно.

MAX как платформа молодая, и у неё есть очевидные пробелы: нет комментариев под постами в каналах и прочих базовых фич.  Для тех, кто пришёл из Telegram, это ощущается примерно как переехать в новую квартиру и обнаружить что там нет розеток. Жить-то как-то можно, но как-то неудобно.

Естественно нишу быстро заняли сторонние разработчики. Их несколько, но про первый я писал в прошлый раз: Ze-Post который закрыл вопрос с комментариями, правда через стороннее веб-приложение, которое работает поверх платформы. Там я же я упоминал второй бот – Отложку, который взял на себя отложенный постинг и отчёты. У обоих продуктов есть аудитория с живыми людьми, каждый из которых мог или может попасть в замес из-за бездействия (или, предположу, намеренных действий) их владельцев.

Чтобы работать, оба бота просят одно: права администратора в вашем канале. Это обычная практика, боту необходимо иметь права на возможность публиковать от имени канала.

И вот здесь начинается то о чём я пишу уже второй раз. Вы попали во вторую публичную статью в моей жизни, потому что ситуация опять стала непростой.

Назову эту главу “с добрым утром”

27 мая в списке чатов у сотен людей появилось одно и то же. Сообщение от Отложки в куче каналов сразу, с разницей в несколько минут. Несколько людей во фронтенд тусовке начали скидывать мне одни и те же скрины.

Текст был адресован лично Евгению Чудову (собственно владелец Отложки).
Там был указан контакт в Telegram и требованием написать ему лично. Такие вот айти-разброрки.

Так же этот таинственный хакер (назовем его так) сказал, что не стал писать в каналы-миллионники. Взломщик туда не пошёл и преподнёс это как жест доброй воли и пример, что раз он смог пройти защиту, то в этот же бот могут написать с той же рекламой казино. Ну и раз уж простой разработчик как я нашёл дырку безопасности, значит я не первый кто о ней знает, а мотивы у людей разные.

Не буду играть в следователя и выяснять личность автора атаки, но человек публично показал именно то, что сам и написал – бот дырявый во всех смыслах. 

Я листал скрины которые мне скидывали. Каналы Спартак, Зенит, ЦСКА, Бавария, ПСЖ, Арсенал, Челси, Bugatti, Mercedes, BMW и это только то, что мне прислали  (скрины в статье только от одного человека).

В общем, в Отложке буквально для каждого пользователя существовала доступная кнопка “разослать по всем каналам”, которой хакер воспользовался. Не хочу никого задевать, но у этого эксплойта должна быть премия Дарвина.

В чём ирония и главная опасность

Параллельно со взломом Отложки в MAX-сообществах крутилась их рекламная кампания. Вот дословно из поста от 20 апреля:

? Пройден аудит безопасности у ведущих специалистов по ИБ в России

Я не ИБ-специалист, но работаю с ними, и часто проходил аудиты, в том числе для крупных проектов и критических штуках для энтерпрайза. Так вот,под такой проверкой подразумевается настоящий профессиональный аудит с лицензией ФСТЭК или ФСБ – это серьёзная процедура с кучей требований, профильными сотрудниками и государственными проверками. Допустим такие процедуру проводят криптопровайдерам для электронной блин подписи, которой подписывают крупные контракты. Те же рутокены, которые продают в налоговой для ИП и юрлиц!! 

Только базовый пентест на критические уязвимости у лицензированных компаний стартует от 100 000 рублей, и это минимум, без углублённой проверки. Такое обычно заказывают банки и крупные корпорации, но не стартапы с ботом в мессенджере.

Но это высшая лига, может быть это делал какой-то крутой ИБшник в частном порядке (что не практикуется для безопасности самого безопасника.) Кто именно проводил аудит у Отложки не указано. Просто замочек и фраза “ведущие специалисты”. Это может быть кто угодно: от реального пентеста до созвона с приятелем который овладел клод кодом или кодексом.

Это известно толковым айтишникам, но точно не массовой аудитории бота.
Да и если трезво посмотреть, самый очевидный аудит безопасности провёл сам хакер.

Есть у меня ещё более интересная история: некоторые рекламщики Отложки уже после инцидента продолжали распростанять рекламу с инфой про супербезопасность,  в чате на 3000+ блин человек. Администратор ответил на хейт: “Мне заплатили за рекламу, я её кручу”. Его подписчики ставили дизлайки, возмущались, но пост с такой рекламой остался.

Так что аудит аудитом, а бизнес бизнесом.

Это уже было

Уберем эпопею с Максом.
Ситуации с дырами в безопасности возникали и в Телеге, довольно громкие.

В марте 2022 года в Telegram взломали Crosser Bot – популярный сервис аналитики и управления каналами. Через него по всем подключённым каналам прошла массовая политическая рассылка с антивоенными призывами. Блоги про рецепты, котиков, мемы, они все получили одинаковый пост за который можно поехать в места где мало рецептов, котиков и мемы крайне специфичные.

В июле 2024 ломанули Fleep Bot, тоже бот отложенного постинга.
Там тоже была массовая рассылка по всем подключённым каналам.

Каждый раз одно и то же: сторонний бот просит права администратора, получает их, а потом выясняется что с этими правами можно сделать всё что угодно, и не только тодля чего бот создавался. 

Когда вы, уважаемые разработчики, разрабатываете продукт такого рода, нужно в первую очередь думать о безопасности, даже если вы вайбкодер.
Даже создатели простых сайтов на Тильде или WP ставят базовые плагины против брутфорса, чтобы защитить свои лендинги.

Потому что всегда будут те, кто захочет проверить вас на прочность.

Что делала Отложка?

После рассылки прошла, в новостном канале Отложки появились три записи подряд.
Передам почти дословную суть:

• Первая: взломали, не переходите по ссылкам.

• Вторая: ищем проблему. 

• Третья: всё починили.

Лол.

Без деталей – что именно было дырой, как это стало возможным, почему кнопка разослать по всем каналам” работала так, что ей мог воспользоваться посторонний. Без слова в адрес владельцев каналов, которые утром обнаружили у себя чужое сообщение. Всё просто – мы все починили, расходитесь, продолжаем работу.

Я как айтишник понимаю, что в кризисной ситуации не до развёрнутых объяснений, в первую очередь нужно всё починить. Но три строчки это не антикризисная коммуникация, а попытка сделать вид что ничего особенного не произошло.

Рекламная кампания, кстати, у Отложки продолжается до сих пор.

О чём прошу сообщество Хабра

К администрации Ze-Post и Отложки я больше не обращаюсь.
Попытки в коммуникацию с первыми мы проходили.

Но если вы или ваши знакомые ведёте канал в MAX и подключили эти боты – вы уже выдали им ключ от своего канала и делегировали свою же безопасность, тоесть доверились. 

Я не призываю отключить все боты и уйти в офлайн, мир (и MAX) будет идти дальше.

Прошу только предупреждать друг друга, делиться такими историями, чтобы люди понимали риски и с кем имеют дело. Надеюсь я смог кому-то помочь.