Группа энтузиастов проверила защищённость школьных чатов и попала внутрь родительской переписки без всяких хакерских инструментов. Потребовалось: открытая ссылка, безобидный мем про пирожки и несколько минут времени. Результат? Новость облетела все региональные СМИ с громким заголовком про «взлом национального мессенджера» из трех букв.
Только вот никакого взлома не было.
Как посторонний человек оказался среди родителей
История началась просто: один из подписчиков блогера, чей младший брат учится в оренбургской школе, имел доступ к родительскому чату. В группе висела открытая ссылка-приглашение. Любой, кто её получал, мог присоединиться без дополнительных проверок.
Блогера добавили в чат. Никто не спросил документы, не попросил подтвердить личность, не уточнил даже имя ребёнка. Просто щелчок — и вот уже посторонний человек читает переписку про сборы на школьные нужды и обсуждения предстоящих родительских собраний.
Первое сообщение было максимально нейтральным: «Здравствуйте! Подскажите, где расписание?» Следом — шуточный мем с «виртуальными пирожками». Несколько человек из команды блогера, которые тоже зашли в чат, поставили лайки и написали благодарности.
Эффект сработал мгновенно.
Когда несколько участников одобрили сообщение, остальные родители автоматически восприняли новичка как «своего». Через некоторое время кто-то даже написал приветствие. Всё, доступ получен.
Вопрос напрашивается сам собой: а если бы вместо мема пришла ссылка с просьбой «оплатить сбор на экскурсию» или «заполнить форму для поездки»? Сколько людей кликнули бы, не задумываясь?
Дырки вместо защиты
MAX(фу) активно продвигается как единая платформа для школьных коммуникаций. Одно приложение для всех — родителей, учителей, администрации. Звучит удобно, пока не начинаешь задумываться о последствиях.
Монополия стирает конкуренцию. Когда альтернатив нет, исчезает и мотивация что-то улучшать. Платформа становится обязательной — значит, пользователям придётся мириться с любыми недостатками.
«Нас заставили перейти на него в обязательном порядке. Никто не спросил, удобно ли это, безопасно ли. Просто приказ сверху», — делится одна из мам школьника из Екатеринбурга.
И вот здесь начинается самое интересное. Кто несёт ответственность, если в такой чат действительно придёт мошенническая ссылка? Директор школы? Учитель, создавший группу? Разработчики мессенджера?
Скорее всего, виноватыми окажутся все, кроме платформы. Классическая ситуация: система даёт сбой, а отвечают рядовые пользователи.
«Мне надоело это всё. Постоянно какие-то новые приложения, которые якобы безопаснее предыдущих. А по факту — та же история с новой обёрткой», — возмущается отец двоих детей из Самары.
Три фатальные ошибки, которые заметили за минуты
Эксперимент выявил проблемы, которые лежат на поверхности:
Открытые ссылки-приглашения
Любой, кто получил ссылку, может присоединиться к чату. Механизм работает как в обычных мессенджерах — только там родители обычно понимают риски. Здесь же речь о «государственном защищённом решении», где люди расслабляются.
Отсутствие проверки новых участников
Ни одного вопроса. Ни одной формы верификации. Человек с ником «Мама Олега» появляется в чате — и всё нормально, добро пожаловать. А ведь речь о группе, где обсуждаются личные данные детей, расписания, иногда даже адреса.
Социальное доказательство как оружие
Психология работает против безопасности. Когда несколько человек лайкнули сообщение и ответили дружелюбно, остальные автоматически доверяют. Мозг отключает критическое мышление: «Если другие приняли — значит, всё в порядке».
Этот механизм используют мошенники постоянно. Только в данном случае его воспроизвели за пару минут в «защищённом»(нет) мессенджере.
Почему это вообще кто-то ставит себе
Отдельный вопрос — аудитория платформы. Посмотрим правде в глаза: молодёжь там не сидит. Активные пользователи — это родители 35-50 лет, которые не всегда разбираются в тонкостях цифровой безопасности.
Речь не о возрасте как таковом, а о цифровой грамотности. Поколение, выросшее в интернете, интуитивно понимает, где может быть подвох. Те, кто осваивал смартфоны уже во взрослом возрасте, часто воспринимают официальные приложения как абсолютно безопасные.
«Мне сказали, это государственный мессенджер, значит, надёжный. Я даже не думала проверять ссылки внутри — казалось, там всё под контролем», — признаётся мама третьеклассника из Новосибирска.
Его всегда устанавливают не по желанию. Школа говорит: «Все коммуникации теперь здесь» — и родители подчиняются. У них нет выбора, если они хотят оставаться в курсе школьных дел.
И вот тут кроется главная проблема: человек использует приложение не потому, что доверяет ему, а потому что обязан. А в таких условиях об осторожности часто забывают.
Скандал вместо разбора полётов
После эксперимента новость разлетелась по региональным СМИ: «Взломан родительский чат в мессенджере MAAX!» Громко, страшно, кликабельно.
Только факты в заголовках не совпадали с реальностью. Никакого взлома не было. Была демонстрация уязвимости, театральная постановка, согласованный эксперимент. Но кого это волнует, когда можно сделать сенсацию?
Люди из образования отреагировали быстро — но суть ответа свелась к «мессенджеры не опасны, это пользователи виноваты». Мол, не переходите по подозрительным ссылкам. Стандартная отмазка.
А как насчёт того, чтобы сделать невозможным попадание посторонних в закрытые группы? Или внедрить верификацию новых участников? Или хотя бы ограничить возможности открытых ссылок?
«Устала от этой показухи. Проблему указали — начали замалчивать и переводить стрелки. Может, пора что-то реально менять?» — пишет пользовательница из Москвы.
Кто виноват, если завтра придёт настоящая угроза
Допустим, завтра в такой же чат попадёт реальный мошенник. Не блогер с мемами, а человек с чёткой целью выманить деньги. Родители получают сообщение: «Срочный сбор на ремонт класса, реквизиты прилагаются». Несколько человек из команды мошенника ставят лайки, пишут «Уже перевёл, спасибо за организацию».
Сколько людей переведут деньги, не проверив?
Ответственность размажется по всем. Скажут, что родители сами виноваты — не проверили. Учителя недосмотрели. Директор не организовал правильно. Только вот платформа, которая позволила постороннему человеку так легко оказаться внутри, останется в стороне.
Это не взлом. Это системная проблема, которую проще не замечать, чем решать.
Что дальше
Эксперимент показал простую вещь: большинство «взломов» случается не из-за хакерских навыков, а из-за человеческого фактора и недоработок системы. Открытая ссылка, отсутствие проверок, слепое доверие — и вот уже посторонний внутри.
Все продвигается как безопасное решение для школ. Но безопасность — это не красивые слова в пресс-релизе. Это конкретные механизмы защиты, продуманная архитектура, ответственность за ошибки.
Пока же получается ситуация, где родителей заставляют использовать платформу, которая не готова к реальным угрозам. И винить потом будут пользователей, а не тех, кто принимал решение о внедрении.
Может, пора остановиться и честно ответить: а действительно ли это приложение настолько безопасно, как заявляется? Или мы снова имеем дело с красивой обёрткой и обещаниями, за которыми ничего нет?
А вы бы заметили постороннего в родительском чате или тоже поверили бы мемам про пирожки? Делитесь в комментариях — интересно узнать, как много людей оценивают подобные риски.
Пожалуйста, поставьте ваш великолепный лайк ❤
А если нажмёте "Подписаться" - будет супер 🙌
Здесь каждый день очень много интересного!