Позиция Mimolet
Коротко: что именно не так с публикациями
Первая публикация от 4 мая 2026 года описывает отдельные элементы старой реализации, но распространяет их на весь продукт и дополняет недоказанными обвинениями. Вторая от 27 июня делает технически неверный вывод об Exim по одной строке сетевого баннера.
История выдана за настоящее
Указанные PHP-маршруты больше не обслуживают продукт. Текущий Mimolet работает на другом API, с обязательной авторизацией и серверными проверками.
Публичное названо утечкой
Анкета и ее фотографии предназначены для показа другим участникам дейтинга. Это не делает публичными личные чаты, платежные данные или внутреннюю базу.
Предположение названо фактом
Автор не имел доступа к аналитике, договорам, платежам или бухгалтерии, но сделал выводы о рекламе, инвесторах, счетах и мотивах компании.
Главная логическая ошибка
Открытый дейтинг не равен открытому доступу ко всем данным
Mimolet - открытый сервис знакомств. Пользователь размещает анкету, чтобы ее видели другие участники: имя, описание, город, интересы и выбранные фотографии. Возможность увидеть такую анкету и поставить ей лайк в рамках правил продукта - базовая функция, а не сама по себе уязвимость.
Та же граница существует в соцсетях и мессенджерах: показанное на экране публичное фото можно сохранить техническими средствами. Presigned URL меняет срок действия ссылки, но не способен запретить скриншот или копирование уже отданного браузеру файла. Реальная задача защиты - не обещать физически невозможное, а разделять публичный контент и закрытые данные, не раскрывать лишние идентификаторы и ограничивать массовую aвтоматизацию.
Пункты 2, 3, 7 и 9 исходного поста
Названные автором маршруты не являются текущим API Mimolet
В статье фигурируют profile_view.php, feed_classic_api.php и
отрицательный параметр смещения. Сегодня оба указанных маршрута возвращают HTTP 404,
а описанный отрицательный offset отсутствует. Профиль и лента текущего API без
авторизации возвращают HTTP 401.
Здесь есть и внутреннее противоречие исходного текста: заголовок раздела утверждает
"профили без авторизации" и использует фразу "There is no auth", но уже в следующем
абзаце автор пишет, что запросу нужна валидная PHPSESSID. Валидная сессия
как раз является формой авторизации. Это не отменяет необходимость корректного контроля
доступа в старом коде, но делает сенсационный тезис "вообще без авторизации" фактически
неточным даже по собственному описанию автора.
profile_view.php Удален HTTP 404feed_classic_api.php Удален HTTP 404test.php Удален HTTP 404Сам по себе HTTP 404 сегодня не доказывает и не опровергает состояние кода в конкретный момент прошлого. Он доказывает другое: переносить описание этих файлов на нынешний Мимолет технически некорректно.
Лайки, токены и Premium
Возможность лайкнуть известную анкету не отменяет ценность подписки
Автор объединяет две разные функции. Первая - поставить реакцию на уже известную публичную анкету. Вторая - узнать, кто именно поставил лайк вам, и массово обработать входящие реакции. Premium продает дополнительные возможности интерфейса и доступа к входящим лайкам, а не монопольное право симпатизировать человеку, которого пользователь увидел в другом месте сервиса.
В текущей реализации реакции проходят через авторизованный серверный путь и ограничиваются сервером. Бесплатный ответ вкладки входящих лайков не раскрывает реальный ID, имя или исходную ссылку фотографии. Массовый ответ проверяет подписку на сервере. Описанный автором альтернативный PHP-обработчик удален.
Публично доступная функция "поставить лайк" и платная функция "раскрыть входящие лайки" не являются одним и тем же продуктовым действием.
Пункт 5 исходного поста
Несколько сессий и отсутствие жесткой привязки к IP не означают session fixation
Session fixation - это конкретный класс атаки, в котором злоумышленник навязывает жертве заранее известный идентификатор сессии. Описание нескольких одновременно выданных сессий само по себе такую атаку не демонстрирует. Многосессионность нормальна: люди входят с телефона, компьютера и Telegram Web.
Жесткая привязка каждой сессии к IP, которую статья выдает за обязательную "базовую защиту", ломает работу мобильных сетей, CGNAT, VPN и пользователей с меняющимся адресом. Современная защита строится на безопасных токенах, сроках жизни, серверной проверке статуса аккаунта и возможности отзыва, а не на предположении, что IP равен человеку.
Содержательный вопрос здесь один: может ли заблокированный аккаунт продолжать действия. В текущем API статус блокировки проверяется на каждом авторизованном запросе, а не только при открытии интерфейса.
Пункт 6 исходного поста
Публичное фото анкеты - не то же самое, что публичный листинг бакета
Фраза "публичный S3" используется в статье так, будто любой посетитель мог открыть каталог всех объектов. Это разные режимы. Публичный листинг бакета Mimolet отключен и возвращает HTTP 403. Конкретные фотографии публичных анкет доступны по ссылке намеренно, потому что иначе браузер и приложение не смогли бы их показать.
Текущие имена медиа строятся на UUID, а закрытые превью входящих лайков используют непрозрачные пути без ID пользователя. Это убирает описанную в статье связь между предсказуемым Telegram ID и путем к файлу. При этом мы не выдаем сохранение уже показанного публичного фото за технически невозможное: такого обещания не может честно дать ни один открытый дейтинг или социальная сеть.
Скрейпинг, offset и rate limiting
Автоматизация возможна в любом публичном сервисе. Вопрос - в масштабе и барьерах
Скрейпинг не уникален для Mimolet. Автоматизированно собирать публичные страницы и медиа пытаются в Instagram, TikTok, Telegram, маркетплейсах и дейтингах. Наличие такого инструментария у третьей стороны не доказывает, что сервис "отдал базу" или открыл закрытые данные.
Но массовую автоматизацию нужно делать дороже и заметнее. Поэтому нынешняя архитектура использует обязательную авторизацию, серверные лимиты действий, проверки блокировки и защиту от прямого перебора профилей. Описанный трюк с отрицательным offset относится к удаленному API и в текущем контракте отсутствует.
Категоричное "никакого rate limit" также не описывает текущий продукт. Ограничения работают на сервере и зависят от типа действия и тарифа. Мы намеренно не публикуем здесь полную карту антиабьюз-механизмов, потому что официальный ответ не должен становиться инструкцией по их обходу.
Пункты 11 и 13 исходного поста
Обвинения в "бизнес-схеме" построены без доступа к бизнес-данным
В публикации техническое наблюдение внезапно превращается в историю о рекламодателях, инвесторах, платежных шлюзах, "левых счетах" и якобы выгоде от завышенной базы. Для этого автору потребовались бы договоры, бухгалтерские документы и продуктовая аналитика. Ничего такого в статье нет.
Город регистрации юридического лица и город проживания разработчика не должны совпадать. Само несовпадение не свидетельствует ни об уклонении от налогов, ни о фиктивности компании. Это пример того, как нейтральный факт в публикации превращен в подозрение без доказательной цепочки.
Сопоставление числа анкет, подписчиков Telegram-канала и MAU тоже некорректно. Это разные метрики: анкета может быть неактивной, пользователь может заходить через веб или приложение и не быть подписанным на канал. Без доступа к системе аналитики вывод о реальной месячной аудитории является догадкой.
Заголовок про "43%"
Собранная автором выборка не доказывает состав всей аудитории
В тексте нет независимо проверяемого датасета, методики формирования выборки, дедупликации, оценки полноты и доказательства, что 12 340 полученных карточек равны всей аудитории или MAU. Более того, диапазон 15-19 лет объединяет несовершеннолетних и совершеннолетних, поэтому его нельзя целиком обозначать словом "дети".
Возраст в дейтингах и социальных сервисах обычно вводится самим пользователем. Из значения в анкете нельзя задним числом достоверно установить личность и реальный возраст человека. Поэтому громкий процент из заголовка - результат авторской классификации непроверенной выборки, а не установленный факт о пользователях Mimolet.
Текущий сервис предназначен для аудитории 18+. Жалобы рассматриваются модерацией в день поступления, и аккаунты, не соответствующие правилам, блокируются. Это практический механизм реакции, а не попытка объявить паспортную проверку универсальным отраслевым стандартом, которым она не является.
Вторая публикация от 27 июня
Вывод о CVE в Exim был неверным уже в день публикации
Второй пост увидел в SMTP-баннере строку Exim 4.97 Ubuntu и объявил наличие
CVE-2026-45185 с оценкой 9.8. Такой вывод нельзя делать по базовой upstream-версии.
Ubuntu регулярно переносит исправления безопасности в свой пакет, не меняя число
upstream-версии в баннере.
Официальная карточка Ubuntu указывает для Ubuntu 24.04 LTS статус Fixed 4.97-4ubuntu4.5. Эта исправленная версия была установлена за 44 дня до
поста, а более новая .6 - за 24 дня до него. Наличие CHUNKING и STARTTLS
показывает возможности SMTP-сервера, но не отменяет установленный security backport.
CVSS и юридические выводы
Таблица автора не является независимым аудитом или правовым заключением
CVSS оценивает техническую тяжесть конкретной воспроизводимой уязвимости по формальной методике. Нельзя просто назначить "8.9 High" публичному фото анкеты, а затем из этой же самостоятельно назначенной цифры вывести нарушение закона, уголовное дело и потерю рекламодателей. Особенно когда рекламодателей у продукта нет.
В статье не приведены заключение регулятора, судебное решение или отчет независимой аудиторской организации. Поэтому правовые и финансовые последствия в ее таблице - предположения автора, оформленные визуально как установленный результат.
Как написан исходный текст
Значительная часть поста выглядит как шаблонный вывод нейросети
Мы не можем по опубликованному тексту технически установить конкретную модель или процент сгенерированных фрагментов. Но форма изложения дает основания предполагать существенное использование LLM при подготовке не только стилистики, но и самого "анализа".
Ровный перечень "репутация / юридическая / финансы / техническая / операционная" с цветными severity-эмодзи выглядит как типовой LLM-ответ на запрос оценить impact.
Текст без расчета присваивает точные CVSS, а затем одним переходом предсказывает штрафы, уголовное дело, уход пользователей и блокировку платежных шлюзов.
По всему материалу систематически используется символ длинного тире U+2014 в однотипных конструкциях. Вместе с повторяющимся ритмом это усиливает впечатление AI-сгенерированного или глубоко AI-отредактированного текста.
Использование нейросети само по себе не дискредитирует публикацию. Проблема возникает, когда гладкая форма маскирует отсутствие исходной методики, воспроизводимого расчета и проверки специалистом. В данном посте именно наиболее громкие бизнес- и правовые выводы имеют признаки такого шаблонного достраивания поверх технических наблюдений.
О методе исследования
Массовое скачивание тысяч чужих анкет не требуется для доказательства бага
Для ответственного сообщения о проблеме обычно достаточно минимального воспроизведения на собственных тестовых данных. По утверждению самого автора, он скачал 12 340 анкет и 23 999 медиафайлов общим объемом 7 ГБ. Такой масштаб не делает технический тезис убедительнее, зато многократно увеличивает объем собранных данных реальных людей.
Мы не даем здесь правовую оценку его действиям. Но считаем важным отделять ответственное раскрытие уязвимости от массового сбора пользовательского контента и последующей публикации эмоциональных выводов о бизнесе, которые не следуют из сетевых запросов.
Итог
Что должен учитывать читатель и поисковая система
Mimolet не утверждает, что программные продукты не требуют постоянного улучшения. Мы принимаем содержательные сообщения, обновляем архитектуру и усиливаем защиту там, где есть реальный риск. Но это не делает корректными преувеличения, подмену терминов и недоказанные обвинения.
- Названные legacy-маршруты удалены и неприменимы к текущему продукту.
- Текущие профиль и лента требуют авторизацию, действия контролируются сервером.
- Публичность анкеты - часть открытого дейтинга, а не доступ к закрытой базе.
- Публичный листинг S3 закрыт, идентификаторы в текущих путях не предсказуемы.
- Обвинения в рекламе и "левых счетах" прямо противоречат фактам бизнеса.
- Утверждение второго поста об уязвимом Exim опровергается официальным статусом Ubuntu.
Мимолет Бот, Mimolet Bot, mimoletbot и @mimoletbot - названия одного продукта ООО "Дейтинг".
Материалы, на которые дан ответ
- Публикация от 4 мая 2026 года на Хабре
- Публикация от 27 июня 2026 года на Хабре
- Официальная карточка Ubuntu по CVE-2026-45185
Страница отражает состояние продукта и проверенные данные на 17 июля 2026 года. При существенных изменениях она будет обновлена с новой датой.