В начале марта 2026 года вокруг российского мессенджера Max разгорелся нешуточный скандал. Сразу две независимые друг от друга претензии к приватности сервиса привлекли внимание общественности и технических специалистов. Пользователи и эксперты обвинили приложение в слежке за использованием VPN, а также в создании «дыры» в безопасности, позволяющей любому желающему просматривать личные фотографии без авторизации. Разработчики Max оперативно отреагировали на обвинения, назвав их «вбросами» и «фейками».
«Режим слежки»: проверка VPN и блокировок
Первая волна критики началась с публикаций на профильных форумах. Технические специалисты провели реверс-инжиниринг Android-версии Max и обнаружили в нем встроенный модуль, который, по их мнению, выходит далеко за рамки обычного функционала мессенджера.
Что нашли исследователи
Согласно данным портала Xakep.ru и анализа на «Хабре», приложение Max регулярно отправляет на свои серверы детализированные отчеты. В них входит не только IP-адрес пользователя, но и флаг активности VPN (определяемый через стандартный Android API), тип соединения и даже результаты проверки доступности ряда сайтов, включая gosuslugi.ru, main.telegram.org и mmg.whatsapp.net.
Эксперты обнаружили, что модуль активируется при сворачивании и разворачивании приложения, а список проверяемых хостов и сервисов для определения IP-адреса (как российских, так и зарубежных) жестко зашит в коде. Это вызвало подозрения, что мессенджер не просто определяет использование VPN, но и проверяет эффективность работы блокировок на конкретном подключении.
Официальный ответ Max
В пресс-службе мессенджера эти выводы категорически опровергли. По их версии, вся собираемая информация об IP-адресах используется исключительно для одной цели — обеспечения корректной работы голосовых и видеозвонков. Технология WebRTC, на которой строятся звонки, действительно требует знания внешнего IP-адреса для установки прямого P2P-соединения между устройствами.
Что касается запросов к серверам Google, Apple, а также Telegram и WhatsApp, то в компании заявили: «МАХ не отправляет запросы на серверы WhatsApp и Telegram». Обращения к серверам Apple и Google они объяснили необходимостью проверки доставки push-уведомлений в условиях нестабильной связи или сетевых ограничений. «Используемые технические решения направлены на обеспечение высокого качества работы сервисов — в первую очередь звонков и уведомлений. К персональным данным или пользованию другими сервисами, включая VPN, они не имеют никакого отношения», — подчеркнули разработчики.
«Дыра» в безопасности: фотографии в открытом доступе
Почти одновременно с историей о VPN пользователи ресурса «Пикабу» обнаружили другую потенциальную угрозу. Они заявили, что изображения, загружаемые в личные чаты или папку «Избранное», на самом деле не являются приватными.
Суть проблемы
Как описал пользователь под ником 5time, при загрузке фото в веб-версии Max для него генерируется статическая гиперссылка. Эту ссылку можно скопировать из кода страницы. Главная проблема в том, что она открывается с любого браузера и устройства без какой-либо авторизации в мессенджере. Более того, даже если удалить фото из переписки, оно продолжает висеть по ссылке (по некоторым данным, как минимум неделю).
Пользователь обратил внимание, что большая часть такой ссылки является одинаковой для всех файлов одного аккаунта, что теоретически может упростить их автоматический перебор ботами. «Для сравнения в Telegram все личные данные защищены не просто надёжно, а пипец как надёжно», — написал он.
Официальный ответ Max
В мессенджере эту информацию назвали «очередным вбросом без подтверждений». Представители сервиса заявили, что личные фото недоступны никому, кроме владельца аккаунта. Увидеть их можно, только если владелец сам добровольно поделится ссылкой.
Однако важно отметить нюанс, который позднее выявили СМИ, изучившие ссылки. Действительно, доступ по ссылке не требует авторизации, что формально подтверждает находку пользователей. Но в редакциях заметили, что различающаяся часть адреса содержит не менее 21 символа, что делает прямой перебор («брутфорс») адресов практически невозможным. Тем не менее, сам факт того, что файлы из приватных переписок хранятся по постоянным и общедоступным ссылкам (пусть и очень длинным), вызвал беспокойство у пользователей, привыкших к более строгим стандартам приватности.