Cientos de canales en MAX publicaron posts ajenos por una falla en un servicio de terceros
Por buscar comodidad, los administradores entregaron voluntariamente el control a terceros
Una función que falta en el nuevo mensajero puede parecer un pequeño detalle incómodo hasta que un servicio externo con permiso para publicar en nombre de canales ajenos la explota. En MAX ha surgido de nuevo un problema de seguridad con los bots: el 27 de mayo, a través del servicio de publicación diferida Otlozhka, se realizó un envío no autorizado a numerosos canales conectados.
Según el autor de la publicación en Habr, el mismo mensaje apareció de inmediato en cientos de canales de MAX con una diferencia de unos minutos. El texto estaba dirigido al propietario de Otlozhka y contenía un contacto para comunicarse en Telegram. El autor del ataque, según el desarrollador Egor, no publicó en canales con millones de suscriptores, pero demostró públicamente que obtuvo acceso al mecanismo de publicación masiva.
La causa está relacionada con el propio modelo de funcionamiento de estos servicios. MAX aún no cubre algunas tareas habituales para los administradores de canales, por lo que desarrolladores externos añaden funciones que faltan mediante bots. Ze-Post ofrecía comentarios, Otlozhka se encargaba de las publicaciones diferidas y de los informes. Para que estos bots funcionen se necesitan permisos de administrador, incluido el permiso para publicar entradas en nombre del canal.
En el caso de Otlozhka, según afirma el autor del artículo, estaba disponible para cada usuario la función de envío masivo a todos los canales. Una persona ajena aprovechó ese mecanismo y envió un mismo mensaje a numerosos canales conectados. Entre los ejemplos que le remitieron al autor había canales de clubes deportivos y de marcas de automóviles.
Por cierto, en el caso de Ze-Post tampoco se pudo evitar el riesgo, pues a través de ese bot se podía enviar un mensaje en nombre de cualquier otro usuario en el canal donde estuviera conectado. En una demostración de prueba, el mensaje se envió en nombre del desarrollador, y según la estimación del autor, el servicio era usado por decenas de miles de canales.
Problemas similares ya se habían manifestado en Telegram. En marzo de 2022, a través del bot de Telegram Crosser Bot se produjo una difusión política masiva por los canales conectados, y en julio de 2024 un incidente similar afectó a Fleep Bot. En todos los casos, el punto débil era el servicio al que los propietarios de los canales habían otorgado permisos ampliados de antemano.
Tras el envío, el equipo de Otlozhka informó de un hackeo y pidió no seguir los enlaces. Luego anunció que buscaba el error y, poco después, su corrección. En esos mensajes no hubo detalles sobre la causa de la falla, los canales afectados ni las medidas de protección. La campaña publicitaria del servicio continuó como si nada.
El incidente muestra el riesgo que surge al trasladar rápidamente la audiencia a una nueva plataforma con funciones incompletas. Los propietarios de canales deberían comprobar con más cuidado a qué bots otorgan permisos de administrador, ser más cautelosos ante mensajes de servicio inesperados y evaluar de antemano qué podrá hacer una herramienta externa con el canal en caso de error o hackeo.