Пользователь нашел способ переноса сессии MAX через токен
Пользователь Habr под ником sansmaster обнаружил, что веб-версия мессенджера MAX сохраняет токен сессии в локальном хранилище браузера. Этот токен можно извлечь через консоль разработчика и перенести на другой компьютер или в другой браузер.
После перезагрузки страницы веб-версия открывается под той же учетной записью без необходимости вводить пароль, СМС-код или сканировать QR-код. Автор публикации подчеркнул, что речь идет о штатном механизме браузера, который используется и в других веб-сервисах.
Для переноса сессии злоумышленнику требуется физический доступ к устройству или браузеру жертвы с активной сессией MAX. Если пользователь выйдет из аккаунта или завершит сессию через настройки, токен станет недействительным на всех устройствах.
