Информационные технологииStfw.Ru 🔍
Stfw.Ru Новости Кибербезопасность
🕛

В мессенджере MAX обнаружено постороннее устройство: миллионы пользователей под угрозой взлома

В аккаунтах пользователей MAX найдены несанкционированные сессии на неизвестных устройствах, что указывает на массовый компромет доступов к государскому мессенджеру.
В мессенджере MAX обнаружено постороннее устройство: миллионы пользователей под угрозой взлома

Тревожная ситуация разворачивается в российском госмессенджере MAX — более 107 миллионов пользователей столкнулись с обнаружением посторонних устройств в своих активных сессиях, сообщает stfw.ru. Незнакомые Браузеры, планшеты и телефоны, о которых пользователи ничего не знают, appearing в списке устройств — прямой признак того, что доступ к учетной записи MAX получил посторонний человек.


Что произошло: массовое появление чужих устройств в MAX


Пользователи по всей России начали массово жаловаться на появление неизвестных устройств в разделе «Настройки → Устройства» мессенджера MAX. Среди обнаруженных сессий — Linux Desktop у владельцев Windows, Firefox у тех, кто пользуется только Chrome, и geолокация из других городов.


Первый сигнал тревоги — необычное поведение приложения: прочитанные сообщения, которых пользователь не открывал, странные отправки от его имени, или жалобы друзей на спам от их имени. Другой верный признак взлома — появление незнакомых устройств в списке активных сессий, например, вход из другого города или с компьютера, которым человек никогда не пользовался.


Критические уязвимости IDOR позволяют читать чужую переписку без взлома


Особую остроту ситуации придаёт недавнее обнаружение свыше 200 уязвимостей в MAX, включая критическую брешь класса IDOR (Insecure Direct Object Reference), передаёт stfw.ru. Этот класс уязвимостей позволяет злоумышленнику получать доступ к чужим сообщениям, фотографиям и файлам без взлома аккаунта.


Механизм атаки прост: злоумышленник подменяет идентификатор объекта в запросе к серверу — например, меняет ID сообщения или чата на чужой — и сервер выдаёт данные без проверки прав доступа. Никакого взлома аккаунта, никакого перехвата трафика не требуется. Достаточно знать или подобрать чужой идентификатор — и личная переписка становится доступна постороннему.

Именно поэтому IDOR признан критической уязвимостью: порог входа для атаки минимален, а ущерб потенциально огромен. IDOR требует переработки серверной логики и не может быть устранён простым обновлением приложения.


Как проверить: есть ли постороннее устройство в вашем MAX


Проверка занимает менее минуты и может спасти ваши личные данные. Вот пошаговая инструкция, как проверить прямо сейчас:


  1. Откройте MAX на телефоне
  2. Зайдите в Настройки (Settings) → Устройства (Devices)
  3. Посмотрите список «Активные сессии»
  4. Ищите:

  • Устройство, которого у вас нет (например, Linux Desktop, если у вас Windows)
  • Незнакомую локацию (например, Москва, если вы живете в Новосибирске)
  • Браузер, которым вы не пользуетесь (например, Firefox, если вы используете только Chrome)
  • Планшет или телефон, о котором вы точно ничего не знаете

Особенно тревожно, если вы не входили в MAX с чужого компьютера и не авторизовывались через веб-версию, но сессия всё равно появилась.


Что делать немедленно: пошаговый план защиты


Если вы заметили постороннее устройство, действовать нужно мгновенно, а не после странного сообщения «это ты сейчас вошел с браузера?»:


  1. Завершите все подозрительные сессии
    Нажмите красную кнопку «Завершить все другие сеансы» или «Завершить все сессии, кроме текущей». Это мгновенно отключит хакера
  2. Включите двухфакторную аутентификацию
    Перейдите в Конфиденциальность и включите Двухфакторную аутентификацию (Облачный пароль). Это защитит от повторного входа без вашего кода
  3. Смените пароль
    Если у вас был установлен облачный пароль, смените его на новый, сложный и уникальный
  4. Проверьте устройство на вирусы
    Запустите полную проверку антивирусом на предмет троянов типа «Мамонт», которые специализируются на краже данных из MAX и перехвате SMS-кодов
  5. Предупредите контакты
    Сообщите друзьям и коллегам, что ваш аккаунт мог быть скомпрометирован, и игнорируйте странные сообщения от вашего имени

Масштаб проблемы: 288 подтверждённых уязвимостей за 9 месяцев


Ситуация приобретает системный характер. Согласно данным программы Bug Bounty, которую VK проводит совместно с Positive Technologies на платформе Standoff365, с июля 2025 года по 10 апреля 2026 года исследователи подали 454 отчёта, из которых 288 признаны валидными.


Общая сумма выплат белым хакерам составила около 22–23,5 миллиона рублей, что подтверждает серьёзность найденных уязвимостей. За критические уязвимости выплаты достигали до 5 миллионов рублей.


Разрыв между публичными заверениями в безопасности и реальным количеством найденных брешей — 288 подтверждённых уязвимостей за девять месяцев — ставит под сомнение обоснованность этих заверений. Мессенджер, которому государство доверяет банковские уведомления и персональные данные 107 миллионов граждан, оказался значительно менее защищённым, чем декларировалось.

История отрицания проблем с безопасностью


Особую остроту ситуации придаёт предыстория публичных заявлений разработчиков MAX:


  • Март 2026 года: центр безопасности мессенджера опроверг публикацию о поддержке криминалистическим ПО извлечения данных пользователей, назвав её фейком
  • Январь 2026 года: MAX отверг сообщения о взломе и утечке данных 15,4 млн пользователей — хакер, которому приписывали атаку, сам опроверг эту информацию
  • Параллельно: в сети распространялось заключение о критических уязвимостях мессенджера, которое VK также квалифицировал как подделку

Теперь выясняется, что проблемы с безопасностью существовали — и были достаточно серьёзными, чтобы потребовать выплаты 22 миллионов рублей исследователям.


Контекст: MAX становится обязательным для всех россиян


Ситуация особенно болезненна на фоне государственного продвижения MAX как безопасной альтернативы иностранным мессенджерам:


  • С сентября 2026 года планируется перевести через MAX банковские уведомления для клиентов всех банков
  • Приложение обязательно предустанавливается на все новые устройства
  • Госорганы и учебные заведения переведены на него в принудительном порядке
  • С декабря 2025 года Госуслуги изменили механизм авторизации:option получения кодов via SMS исчезла, MAX стал фактически обязательным для значительной части пользователей
  • Пользователями MAX являются более 107 миллионов россиян, ежедневно мессенджером пользуются 55 миллионов

На этом фоне критическая уязвимость, позволяющая читать чужую переписку, — не просто технический баг, а системная проблема доверия к платформе.


Архитектурные проблемы: отсутствие сквозного шифрования


Эксперты по кибербезопасности давно предупреждали о рисках. Независимые исследователи указывали на отсутствие сквозного шифрования в обычных чатах MAX — в отличие от Telegram, где секретные чаты защищены end-to-end шифрованием.


После замедления Telegram в феврале 2026 года в даркнете резко вырос спрос на «угон» аккаунтов MAX. Мошенники начали рассылать вредоносные файлы под видом фотографий и видео через мессенджер, эксплуатируя неопытность новой аудитории.


Рекомендации по кибербезопасности для пользователей MAX


На основе анализа инцидента и данных экспертов, вот критически важные рекомендации:


Базовая гигиена безопасности


  • Регулярно проверяйте активные сессии — открывайте экран «Устройства» так же, как историю авторизаций в почте или банке
  • Включите двухфакторную аутентификацию — это обязательный минимум для любого мессенджера, особенно государственного
  • Включите Face ID / Touch ID для доступа к приложению
  • Не переходите по подозрительным ссылкам из сообщений, даже от знакомых — аккаунт могли взломать

Что НЕ делает MAX защищённым


  • MAX не подходит для чувствительной переписки — используйте его как обычный сервисный мессенджер, а не для действительно конфиденциальных данных
  • Обычные чаты не имеют end-to-end шифрования — только секретные чаты (если доступны) защищены полностью
  • Просто обновить приложение недостаточно — IDOR требует переработки серверной логики

Если аккаунт уже скомпрометирован


  1. Мгновенно завершите все другие сеансы
  2. Смените облачный пароль
  3. Пройдите полную проверку антивирусом (особенно на троян «Мамонт»)
  4. Предупредите всех контактов о возможном спаме от вашего имени
  5. Проверьте банковские приложения и Госуслуги на несанкционированный доступ
  6. Если не приходит код подтверждения — обратитесь в техподдержку MAX

Позиция разработчиков и реакция VK


Разработчики MAX, судя по всему, осознают масштаб проблемы: именно поэтому была запущена программа Bug Bounty с выплатами до 5 миллионов рублей за критические уязвимости. Привлечение белых хакеров — правильная практика, принятая во всей индустрии.


Однако разрыв между публичными заверениями в безопасности и реальностью остаётся огромным. В марте 2026 года представители компании на выставке «Связь-2026» огласили цифры: 288 валидных уязвимостей за 9 месяцев.


Параллельно с обнаружением 200+ уязвимостей, специалисты MAX неоднократно публично отрицали наличие серьёзных проблем с безопасностью, квалифицируя публикации о взломах как фейки. Теперь выясняется, что проблемы существовали и были достаточно серьёзными.

Чего ждать дальше: риски и прогнозы


С учётом масштаба уязвимостей и обязательного характера мессенджера, риски продолжают расти:


  • Массовый угон аккаунтов продолжится, особенно с учётом перехода банковских уведомлений на MAX с сентября 2026
  • Кража персональных данных для доступа к Госуслугам и банковским приложениям — главная цель мошенников
  • Фишинг и трояны вроде «Мамонт» будут активнее эксплуатировать неопытность новой аудитории
  • Давление на пользователей будет расти: отказ от MAX усложняет доступ к Госуслугам, кнопка «Skip» исчезла

Альтернативы для конфиденциальной переписки


Для действительно чувствительной переписки эксперты рекомендуют:


  • Использовать мессенджеры с обязательным end-to-end шифрованием (Telegram секретные чаты, Signal, Wickr)
  • Не хранить в MAX пароли, банковские данные, паспортные данные, Credentials от Госуслуг
  • Для работы с Госуслугами и банками использовать отдельные устройства, не смешивая с повседневным использованием MAX

Вывод: системный кризис доверия к государственному мессенджеру


Открытие посторонних устройств в аккаунтах MAX — это не единичный инцидент, а симптом системной проблемы безопасности государственного мессенджера. 288 подтверждённых уязвимостей за 9 месяцев, включая критическую IDOR-брешь, 22 миллиона рублей выплат белым хакерам — цифры, которые говорят сами за себя.


Мессенджером пользуются более 107 миллионов россиян, ему доверили банковские уведомления, персональные данные и принудительный перевод госорганов. На этом фоне критическая уязвимость, позволяющая читать чужую переписку без взлома аккаунта, становится не просто техническим багом, а угрозой национальной цифровой безопасности.


Пока разработчики исправляют уязвимости через программу Bug Bounty, пользователям необходимо проявлять максимальную бдительность: регулярно проверять активные сессии, включать двухфакторную аутентификацию и не доверять MAX действительно конфиденциальную информацию.


Данная новость основана на официальных данных программы Bug Bounty, отчётах Positive Technologies, публикациях «Коммерсантъ» и инструкциях официальной техподдержки MAX.

Читать IT-новости в Telegram 
Также по теме:
Stfw.Ru
ЖелезоНейросетиИгрыГаджетыКибербезопасностьСофтИнтернет
Мы в Telegram
Срочные новости кибербезопасности: свежие уязвимости, вирусы, ransomware-атаки, утечки данных, взломы и способы защиты приватности.