В мессенджере Max был взломан бот для отложенных публикаций «Отложка»
В результате злоумышленники получили доступ к каналам, где бот был назначен администратором, и начали рассылать мошеннические сообщения от имени администраторов. Об этом сообщил (https://habr.com/ru/articles/1045080/) фронтенд-разработчик, известный на Habr под ником Pakistanis.
По его словам, для работы «Отложки» владельцы каналов предоставляли боту права администратора, необходимые для автоматического постинга. После компрометации эти полномочия оказались у злоумышленников, которые использовали их для массового спама. Инцидент затронул десятки мелких и средних каналов, включая фанатские сообщества и автомобильные паблики. Крупные каналы-миллионники были оставлены нетронутыми, как отметил исследователь, чтобы продемонстрировать уязвимость системы, не причиняя значительного ущерба.
После атаки администрация бота ограничилась краткими сообщениями о том, что проблема устранена, не предоставив подробной информации о том, как именно произошел взлом и насколько надежна защита в будущем.