Добавить в корзинуПозвонить
Найти в Дзене
Синтез закона и технологий
1346 подписчиков

Правда о «взломах» в MAX: кто на самом деле крадёт аккаунты

508
8 мин
Комментарий одного из наших читателей подтолкнул к этой теме. Вокруг любого популярного мессенджера рано или поздно появляются слухи о «массовых взломах». Не обошло стороной и российский MAX — приложение, которое за короткое время собрало огромную аудиторию. В сети регулярно всплывают сообщения об утечках баз, взломе серверов и похищении миллионов аккаунтов. Разберёмся, что здесь правда, а что — очередной вброс. И главное — откуда на самом деле берутся «взломанные» профили. Самый громкий и самый живучий слух. В Telegram-каналах и на хакерских форумах (в том числе DarkForums) появляется аноним, который заявляет: получен полный доступ к серверам MAX, украдены данные миллионов людей. Называют внушительные цифры — 15–47 миллионов записей, иногда — объём в десятки гигабайт. В качестве «доказательства» выкладывают фрагменты таблиц: якобы профессия, должность, геолокация, дата рождения, ИНН, СНИЛС, привязка к Госуслугам. Такие волны уже были — например, в октябре 2025 и снова в январе 2026, к
Оглавление

Комментарий одного из наших читателей подтолкнул к этой теме. Вокруг любого популярного мессенджера рано или поздно появляются слухи о «массовых взломах». Не обошло стороной и российский MAX — приложение, которое за короткое время собрало огромную аудиторию. В сети регулярно всплывают сообщения об утечках баз, взломе серверов и похищении миллионов аккаунтов.

Разберёмся, что здесь правда, а что — очередной вброс. И главное — откуда на самом деле берутся «взломанные» профили.

Миф №1: хакеры взломали серверы MAX и украли базу пользователей

Самый громкий и самый живучий слух.

Как это выглядит

В Telegram-каналах и на хакерских форумах (в том числе DarkForums) появляется аноним, который заявляет: получен полный доступ к серверам MAX, украдены данные миллионов людей. Называют внушительные цифры — 15–47 миллионов записей, иногда — объём в десятки гигабайт. В качестве «доказательства» выкладывают фрагменты таблиц: якобы профессия, должность, геолокация, дата рождения, ИНН, СНИЛС, привязка к Госуслугам.

Такие волны уже были — например, в октябре 2025 и снова в январе 2026, когда слухи снова разошлись по каналам.

Что на самом деле

Минцифры, пресс-служба MAX и Центр безопасности MAX неоднократно называли эти публикации фейком. Специалисты проверяли выложенные «сэмплы» — небольшие выборки записей: в опубликованных строках не совпали идентификаторы Госуслуг с реальными пользователями. Из этого делают вывод: данные сфабрикованы, а не скачаны с серверов мессенджера.

Позже сам автор одного из сообщений на форуме отозвал заявление: уточнил, что пост о базе был неверным, такой базы нет, дальнейшее «расследование уязвимостей» результатов не дало.

Самый весомый технический аргумент: состав полей в «утечке» не совпадает с тем, что MAX реально хранит. В мессенджере нет, например, ИНН, СНИЛС, полного набора паспортных данных, «уровней аккаунта» в том виде, как это описывали анонимы. Центр безопасности также отмечал несостыковки в технических деталях (вроде ссылок на чужие форматы хранения паролей) и отсутствие подозрительной активности в логах по этому эпизоду.

Вывод: массовой подтверждённой утечки базы с серверов MAX на миллионы пользователей не зафиксировано. Публичные «дампы» раз за разом разбирают как вброс. Это не значит, что любой сервис в принципе невзламываем — но конкретно эти истории с «15 млн в сети» — про запугивание и клики, а не про доказанный инцидент.

Откуда тогда берутся «взломанные» аккаунты?

Серверы MAX могут не взламывать — и при этом аккаунты угоняют постоянно. Просто это делается не «взломом платформы», а обходными путями, где слабое звено чаще всего человек, а не дыра в коде мессенджера.

1. Фишинг

Самый частый сценарий. Мошенники поднимают поддельные страницы, похожие на официальный сайт или форму входа, гонят трафик через рассылки, мессенджеры и иногда рекламу в поиске.

Важно: в MAX нет классического входа «логин + пароль». Обычно нужны номер телефона и код из СМС (или код в чате «Коды подтверждения» в самом MAX, если есть активная сессия на другом устройстве). Поэтому подделки чаще просят:

  • номер и код из СМС «для входа» или «для защиты аккаунта»;
  • переход на поддельный вход VK ID (MAX тесно связан с экосистемой VK);
  • дополнительный пароль для входа, если жертва уже включила двухфакторную защиту в MAX.

Назвали код по телефону или на сайте — доступ у мошенника. Дальше переписка, контакты, файлы, рассылка спама от вашего имени, шантаж, попытки обмана знакомых.

Перед вводом данных смотрите адрес в строке браузера. Мошенники регистрируют похожие домены (вроде max1.online, max11.online). Сомневаетесь — откройте официальное приложение MAX и проверьте статус аккаунта там, а не на незнакомой странице.

2. Социальная инженерия

Обман без взлома «железа» — только голос, срочность и страх.

Звонят или пишут: «техподдержка MAX», «служба безопасности», «Госуслуги», «банк». Убеждают, что аккаунт под угрозой, и просят продиктовать код из СМС «для восстановления» или «для блокировки мошенника».

Типичный приём:

«Здравствуйте, я из технической поддержки MAX. Ваш аккаунт пытались взломать, система его временно заблокировала. Сейчас придёт СМС с кодом — продиктуйте его, и мы всё исправим».

Никогда не называйте код. Положите трубку. Перезвоните сами по номеру с официального сайта или напишите в поддержку через приложение.

Схема опирается на три приёма: «государственный» тон (MAX воспринимают как официальный сервис), срочность («действуйте сейчас») и техноязык («двойная верификация», «проверка безопасности»). На фоне новостей об интеграциях с госсервисами обман звучит особенно правдоподобно — даже если звонок идёт не «от MAX», а, например, ведёт к краже доступа к Госуслугам или банку через тот же код.

3. Вредоносное ПО

Ссылка «посмотри фото/видео» — и под видом APK (на Android) или вложения ставится троян. После установки злоумышленник может получить доступ к устройству, переписке, уведомлениям с кодами — и рассылать такие же сообщения уже от вашего имени.

Скачивайте MAX только из официальных магазинов или с сайта разработчика. Не ставьте «обновления» и «моды» из чатов.

4. Перехват номера (SIM-swap)

Через поддельные документы, социальную инженерию в салоне связи или сговор с недобросовестными сотрудниками номер переоформляют на другую SIM. Мошенник получает ваши СМС — и может запросить код входа в MAX или восстановление связанных сервисов.

Именно поэтому защита только «кодом из СМС» без остальных мер — не идеал. Ниже — что добавить поверх SMS.

5. «Аренда» аккаунта за деньги

В теневых каналах предлагают сдать аккаунт на пару часов за небольшую сумму. Итог предсказуем: спам, фишинг с вашего профиля, блокировка. Зампред правления Сбербанка Станислав Кузнецов на ВЭФ-2025 говорил, что мошенники покупают и воруют аккаунты в MAX для дальнейшего обмана — это уже наблюдаемая практика, не теория.

6. Слабая защита VK ID и связанных сервисов

MAX связан с VK ID и номером телефона. Слабый или повторяющийся пароль ВКонтакте, утечка пароля с другого сайта, отсутствие 2FA в VK — отдельный риск для всей экосистемы. При подозрении на взлом сразу меняйте пароль VK ID и проверяйте активные сессии.

Что говорят цифры

Проблема есть, но она не равна «взлому серверов MAX».

Станислав Кузнецов (ВЭФ-2025, сентябрь 2025) отмечал: мошенники чаще похищают или покупают аккаунты в MAX; на долю MAX в общем потоке мошеннических звонков приходится порядка 8–9%. При этом львиная доля телефонного мошенничества по-прежнему идёт через сим-боксы и виртуальные АТС (по его же оценкам — около 85% случаев) — то есть MAX вписан в общую картину, а не «уникальная дыра».

Пресс-секретарь президента Дмитрий Песков также предупреждал, что мессенджер, как и другие платформы, может использоватьаться мошенниками — без заявления о взломе инфраструктуры.

Смысл цифр: популярная площадка автоматически попадает в фокус аферистов. Это не делает MAX «хуже Telegram или WhatsApp» — делает целью. Чаще ломают не сервер, а доверие пользователя.

Как сильно снизить риск

МВД, Центр безопасности MAX и отраслевые эксперты сводят защиту к нескольким понятным шагам. Они не дают абсолютной гарантии, но закрывают большинство типовых схем.

1. Включите «Пароль для входа» (двухфакторная защита)

С осени 2025 в MAX есть двухфакторная аутентификация: при входе на новом устройстве нужны код из СМС (или из чата MAX) и дополнительный пароль, который вы задаёте сами. Это не замена здравому смыслу, но второй барьер для злоумышленника, который уже перехватил только SMS.

Как включить (в мобильном приложении; в веб-версии эту настройку не подключить):

  1. Откройте ПрофильБезопасность (в части версий путь через Настройки).
  2. Выберите Пароль для входаУстановить пароль.
  3. Задайте надёжный пароль (буквы и цифры), при желании — подсказку.
  4. Укажите электронную почту для восстановления — без неё восстановить доступ при забытом пароле не получится.
  5. Введите код из письма на почту и завершите настройку.

Помните: при SIM-swap мошенник всё ещё может получить СМС. 2FA в MAX усложняет жизнь вору, но не отменяет защиту номера телефона у оператора.

2. Включите «Безопасный режим»

Ограничивает контакт с незнакомцами: скрытие профиля из поиска по номеру, блокировка звонков от неизвестных, отсечение сомнительных приглашений. Доступ к настройкам режима защищён отдельным ПИН-кодом.

3. Не переходите по ссылкам из подозрительных сообщений

Даже если пишет «знакомый» — странный текст, срочность, файл «срочно открой» — перезвоните по другому каналу и уточните. Официальные обновления — только из магазина приложений или с доверенного сайта.

4. Не вводите коды и данные на чужих сайтах

Один раз сомневаетесь — закройте вкладку, откройте приложение MAX. Код из СМС и пароль для входа — только для себя, не для «поддержки» по телефону.

5. Укрепите VK ID

Уникальный сложный пароль, 2FA в VK, смена пароля при малейшем подозрении.

6. Проверяйте активные сессии

В настройках (Приватность / безопасность профиля) посмотрите список устройств. Незнакомое устройство — завершите сеанс, смените пароль для входа в MAX и проверьте VK ID.

7. Жалуйтесь на мошенников

В чате: удержание сообщения → Пожаловаться (спам, фишинг, обман). Это помогает модерации и антифрод-системам (в том числе интеграциям с Kaspersky и Сбером на звонках через MAX).

8. Главное правило

Никому не сообщайте коды из СМС, push и чатов подтверждения. Сотрудники MAX, банков, Госуслуг не просят продиктовать код по телефону. Звонят и давят — мошенник. Положите трубку, проверьте сами.

Что в итоге

Аккаунты в MAX угоняют — как в Telegram, WhatsApp и других массовых мессенджерах. Публичные истории о «взломе серверов и утечке 15 миллионов» официально разоблачены как фейк. Реальная угроза — фишинг, код из СМС, социнженерия, вредоносные файлы, SIM-swap и покупка/аренда аккаунтов.

Ваши данные с большой вероятностью не «утекли с серверов» — их чаще отдают сами, назвав код или открыв поддельную страницу.

MAX даёт инструменты: пароль для входа, безопасный режим, контроль сессий, жалобы, антифрод на звонках. Но главная защита — ваша бдительность: не код по просьбе чужого голоса, не APK из чата, не «срочная проверка» в два клика.

Мошенники играют на страхе и незнании нового приложения. Чем спокойнее вы проверяете факты и настраиваете защиту один раз, тем меньше «взломщики из новостей» имеют к вам отношения.

Подпишитесь, чтобы не пропустить новые материалы.

Информационная безопасность — это область, которая меняется каждый день. Появляются новые угрозы, обновляются законы, а вместе с ними и способы защиты.

Вам нравится контент на моём канале? Теперь у вас есть возможность поблагодарить автора. 50 рублей, 100 рублей или любую другую сумму. Спасибо!

Изображение сгенерировано ИИ
Изображение сгенерировано ИИ