Уязвимости в православном мессенджере “Зосима” позволяют злоумышленникам редактировать чужие сообщения на платформе, а также получать личные данные пользователей. Об этом сообщает Telegram-канал Lolzteam.
Утверждается, что ряд уязвимостей в новом проекте обнаружила группа энтузиастов, которая именует себя как Testers v4. Якобы они изучали код сайта “Зосимы” и обнаружили в нем несколько критических проблем.
В частности, утверждается, что из-за несовершенства программного кода в мессенджере можно обойти авторизацию. Это потенциально позволяет получить доступ к любому аккаунту пользователя, не зная e-mail, привязанный к профилю. Кроме того, из “Зосимы” можно скачать базу с личными данными юзеров. Другая неисправность позволяет злоумышленникам присваивать себе права администратора, которые разрешают редактировать и удалять любые публикации на платформе.
В качестве доказательства Lolzteam опубликовал скриншоты с перепиской предполагаемых представителей Testers v4. Одно из изображений представляет собой фрагмент базы данных, где видно, что энтузиасты якобы получили доступ к ФИО пользователей, а также их e-mail и IP-адресам.
“Оказывается, юзер может изменить себя как угодно. Достаточно изменить значение is_admin на true”, – гласит одно из сообщений представителя Testers v4.
Мессенджер “Зосима” запустился в Google Play 24 сентября 2025 года.
Ранее заместитель главы Синодального отдела Московского патриархата по взаимоотношениям церкви с обществом и СМИ Вахтанг Кипшидзе заявил, что в РПЦ ничего не слышали о приложении.