Называем вещи своими именами

Публичный дейтинг не равен утечке данных

В публикации о Mimolet нормальную механику открытого сервиса переименовали в "критические уязвимости": лайк публичной анкеты стал "обходом", показанное фото - "утечкой", а предположение - бизнес-расследованием. Громкие термины не исправляют сломавшуюся логику.

ООО "Дейтинг" 10 минут чтения
Лайкнормальная функция дейтинга
Фотопубличный контент можно сохранить
APIтранспорт, а не уязвимость

Главная проблема текста

Автор не обнаружил новый закон интернета. Он поменял названия обычных вещей

Публичная анкета не становится приватной базой только потому, что к ней обратился скрипт. API не становится дырой только потому, что его вызвали не кнопкой. Сохранение файла, который уже показан пользователю, не становится взломом хранилища.

В статьеПубличное = утекло

Подмена категории данных.

В статьеAPI = обход

Подмена интерфейса транспортом.

В статьеАвтоматизация = взлом

Подмена масштаба самим фактом доступа.

В статьеПредположение = факт

Подмена доказательств эффектной историей.

Простой тест для любого громкого тезиса: нарушена ли граница между публичными и закрытыми данными, обойдена ли авторизация, согласие или серверный лимит? Если нет, слово "уязвимость" не появляется от количества красных эмодзи и баллов CVSS.

Лайк через API

API, который позволяет участнику лайкнуть публичную анкету, выполняет свою работу

В открытом дейтинге пользователь должен иметь возможность выразить симпатию другому участнику. Кнопка на экране в любом случае отправляет запрос в API. Повторить этот запрос техническим клиентом - не магический обход продукта, а другой способ обратиться к тому же серверу.

Реальная проверка начинается дальше: запрос должен быть авторизован, инициатор должен быть действующим пользователем, а серверные ограничения должны применяться независимо от интерфейса. В текущем Mimolet реакции проходят через авторизованный серверный маршрут и ограничены тарифом: 60, 250, 500 или 1200 действий в день.

Функция: лайкнуть известную публичную анкету в рамках лимита. Не функция: обойти авторизацию, бан или серверный лимит.

Поэтому фраза "через API можно лайкнуть человека" звучит грозно только до перевода на обычный язык: "сервис знакомств позволяет поставить лайк". Именно для этого сервис и существует.

Фото и S3

Показанное публичное фото можно сохранить. Это свойство интернета, а не взлом Mimolet

Фотография публичной анкеты должна попасть на устройство пользователя, иначе приложение не сможет ее показать. После этого файл можно сохранить через инструменты браузера, запись экрана или обычный скриншот. То же самое возможно с публичным контентом в Instagram, TikTok, Telegram и любом другом сервисе, который реально показывает медиа человеку.

Ни presigned URL, ни запрет правой кнопки, ни короткий срок ссылки не отзовут пиксели, уже переданные на экран. Такие меры могут затруднить массовый сбор, но не способны сделать копирование публично показанного контента физически невозможным.

НормальноТочное фото публичной анкеты открывается приложением
ВажноКаталог хранилища не должен раскрываться списком
СейчасЛистинг бакета закрыт и возвращает HTTP 403
СейчасИмена новых медиа основаны на UUID, а не на Telegram ID
Публично показанное фото - не то же самое, что публичный список всех объектов хранилища. Статья строит тревогу именно на смешении этих двух понятий.

Автоматизированный сбор

Скрейпинг существует везде. Вопрос не в его существовании, а в цене и масштабе

Публичные страницы и ленты автоматизируют в соцсетях, маркетплейсах, поисковиках, мессенджерах и дейтингах. Абсолютного технического запрета не существует: автоматизация может имитировать действия реального пользователя. Поэтому зрелая защита не обещает невозможного, а повышает стоимость злоупотребления через авторизацию, непредсказуемые идентификаторы, лимиты, поведенческие сигналы и блокировки.

Исторический отрицательный offset, на котором построена значительная часть рассказа, отсутствует. Названный feed_classic_api.php больше не обслуживает продукт и возвращает 404. Текущая лента без авторизации возвращает 401. Переносить старый сценарий на нынешнюю архитектуру - не анализ текущего Mimolet, а описание удаленного кода.

01

Можно автоматизировать

Это верно для любого публичного интерфейса.

02

Можно безгранично собирать

Это отдельный тезис, который требует доказательства на текущем API.

03

Получены закрытые данные

Это еще один отдельный тезис, а не следствие первых двух.

История против настоящего

Старые PHP-файлы не являются текущей архитектурой Mimolet

Статья многократно возвращается к одним и тем же маршрутам и создает из повторения ощущение масштаба. Но три имени файлов не превращаются в три независимые проблемы, а удаленная точка входа не становится текущим API только потому, что скриншот остался в посте.

Упомянуто в статьеСейчас
profile_view.php404 удален
feed_classic_api.php404 удален
test.php404 удален
Текущие профиль и лента без входа401 требуется авторизация

Это не попытка переписать прошлое: текущий 404 сам по себе не доказывает, что было в день теста. Он доказывает более скромный и важный факт - описанный путь нельзя честно выдавать за сегодняшнее состояние продукта.

Premium без фокусов

Поставить лайк известной анкете и раскрыть входящие лайки - разные действия

Статья называет "обходом Premium" возможность лайкнуть уже известного пользователя. Но подписка дает доступ к механике входящих реакций: узнать, кто лайкнул вас, и работать с этой вкладкой. Она не продает исключительное право выражать симпатию человеку, которого вы уже увидели в публичной части сервиса.

Текущий бесплатный ответ вкладки входящих лайков не раскрывает настоящий ID, имя или исходную ссылку фотографии. Массовый ответ проверяет подписку на сервере. Смешение "поставить лайк" и "раскрыть входящий лайк" создает эффектный абзац, но не доказывает обход платной функции.

Сессии и блокировки

Несколько сессий не равны session fixation, а IP не равен человеку

Session fixation - конкретная атака, где жертве навязывают заранее известный идентификатор сессии. Пять входов с пяти устройств показывают только то, что сервис допускает несколько сессий. Это обычная практика для телефона, компьютера и Telegram Web, а не доказательство захвата чужого аккаунта.

Предложенная в статье жесткая привязка к IP ломает мобильные сети, CGNAT и VPN. В текущем API заблокированный пользователь проверяется при каждом авторизованном запросе. Вот это содержательная граница. Требование "один IP = один человек" к ней отношения не имеет.

Самая слабая часть публикации

История о рекламодателях и "левых счетах" придумана без доступа к бизнесу

Автор не видел договоров, платежей, бухгалтерии, кабинетов аналитики или банковских счетов. Но из количества анкет, подписчиков канала и адреса регистрации ООО сделал выводы о рекламодателях, налогах, инвесторах и намеренном ослаблении безопасности. Между исходными данными и этим сюжетом нет доказательной цепочки.

Факт компанииMimolet никогда не продавал рекламу
Факт компанииУ продукта нет рекламодателей и рекламной выручки
Факт компанииОфициальный оператор - ООО "Дейтинг"
Факт компанииНикаких "левых счетов" у продукта нет

Зарегистрировать компанию в одном городе, а разрабатывать продукт из другого - не "бизнес-схема" и не технический индикатор. Такая география не доказывает ни уход от налогов, ни наличие рекламы, ни мотивы владельцев. Это обычная догадка, поданная как расследование.

CVSS-театр и второй пост

Самоназначенные баллы не заменяют вектор атаки, а баннер Exim не показывает Ubuntu-патч

Таблица с оценками 7.5, 8.9 и 8.1 выглядит убедительно, но цифры без полного CVSS-вектора, границ системы и воспроизводимого влияния остаются мнением автора. Добавленные рядом "уголовное дело", "потеря рекламодателей" и "блокировка платежных шлюзов" не следуют из технических тестов, особенно когда рекламодателей у продукта вообще нет.

Во втором посте та же схема повторилась с Exim. Из баннера Exim 4.97 Ubuntu сделан вывод о CVE-2026-45185. Но Ubuntu исправила эту CVE бэкпортом в пакете 4.97-4ubuntu4.5. На сервере версия .5 была установлена 14 мая, .6 - 3 июня, а пост появился 27 июня. Базовый SMTP-баннер не показывает ревизию пакета Ubuntu.

Установлен исправленный пакет 4.97-4ubuntu4.5
Установлена следующая ревизия 4.97-4ubuntu4.6
Опубликован пост с выводом об "уязвимой" версии
Официальная карточка Ubuntu Ubuntu 24.04 LTS: исправлено в 4.97-4ubuntu4.5

Методика и форма

Шаблонная AI-подача усиливает драму, но не усиливает доказательства

Значительная часть текста выглядит сгенерированной или серьезно отредактированной ИИ: однотипные матрицы "severity + business impact", механические аналогии, повторяющиеся резюме, эмодзи-уровни риска и плотная AI-типографика. Это наблюдение о стиле, а не техническое доказательство конкретной модели.

Проблема не в использовании нейросети. Проблема возникает, когда уверенный шаблон скрывает пропущенные шаги: нет независимой проверки выборки, нет доступа к бизнес-данным, нет полного CVSS-вектора, нет проверки патч-ревизии Exim, а нормальные функции открытого дейтинга заранее названы уязвимостями.

Выборка

12 340 собранных анкет не доказывают размер всей месячной аудитории.

Возраст

Группа 15-19 не позволяет напрямую посчитать долю людей младше 18.

Бизнес

Число подписчиков канала не раскрывает договоры, выручку или банковские счета.

Вывод

Безопасность требует точности. Паника требует только громких слов

У Mimolet, как у любого живого продукта, есть инженерная работа и постоянное усиление защиты. Но честный разбор обязан отличать публичное от закрытого, возможность от безграничности, старый код от текущего и доказательство от предположения.

Лайк публичной анкеты - нормальная функция. Сохранение уже показанного публичного фото - неустранимое свойство цифрового контента. Скрейпинг - общерыночный риск, который ограничивают, а не объявляют физически невозможным. Удаленные legacy-маршруты не описывают текущий API. Реклама, "левые счета" и уязвимый Exim оказались не фактами, а сюжетом, который не выдерживает проверки.

Подробный официальный ответ Mimolet с техническими фактами Статусы маршрутов, S3, сессии, Exim, источники и актуальное состояние Расширенный гид по безопасности публичного дейтинга Четыре уровня: показ, действие, масштаб автоматизации и закрытые данные
Официальный сервисMimolet

Мимолет, Мимолет Бот, Mimolet Bot, mimoletbot и @mimoletbot - названия одного продукта ООО "Дейтинг".

Открыть @mimoletbot

Источники и материалы

  1. Первая публикация на Хабре от 4 мая 2026 года
  2. Вторая публикация на Хабре от 27 июня 2026 года
  3. Официальная карточка Ubuntu по CVE-2026-45185

Материал отражает проверенное состояние продукта на 17 июля 2026 года.