История с мессенджером MAX в июне 2026-го напоминает классический российский парадокс: нас просят доверять, но делают все, чтобы доверия не возникало. Сначала Apple тихо удаляет приложение из App Store, и миллионы владельцев iPhone остаются без push-уведомлений. Потом выясняется, что веб-версия через раз работает, а браузеры ругаются на отзыв SSL-сертификата. А в перерывах между этими коллапсами компания продолжает вещать про "национальную альтернативу", интеграцию с Госуслугами и безопасность. Но если копнуть глубже, картина становится тревожной.
Начнем с главного - с шифрования. MAX позиционирует себя как современный защищенный мессенджер, но в его пользовательском соглашении и политике конфиденциальности нет ни слова о сквозном шифровании. Зато есть прямая формулировка о том, что компания использует автоматические фильтры для сканирования сообщений - спама, нелегального контента и так далее. Технически это означает одно: сервер имеет доступ к открытому тексту ваших переписок. В настоящих E2EE-решениях, таких как Signal с его протоколом Double Ratchet, сервер физически не может ничего прочитать или отфильтровать, потому что не владеет ключами. В MAX же ключи, судя по всему, хранятся на стороне сервера, либо шифрование работает только на транспорте (TLS), но не на стороне клиента. Независимые реверс-инженеры, изучавшие APK, не нашли следов Signal Protocol, нормальной генерации ключей на устройстве или хотя бы секретных чатов, как в Telegram. Голосовые сообщения, по некоторым данным, уходят в формате WAV без дополнительного шифрования. Это не уровень 2026 года, это уровень "мы просто надели презерватив на сервер".
Дальше - сбор данных. Здесь MAX вообще не стесняется. Помимо номера телефона, имени и даты рождения, приложение запрашивает доступ к геолокации, контактам, буферу обмена, списку установленных приложений (особенно если скачивалось через RuStore). В некоторых версиях нашли проверку на root и виртуальные окружения - классические техники, которые обычно используют банковские приложения или шпионское ПО. Социальный граф - кто с кем общается, когда, с какого IP и устройства - полностью доступен серверу. А поскольку MAX интегрирован с ЕСИА и Госуслугами, через один взломанный аккаунт злоумышленник получает доступ к документам, цифровой подписи, льготам и, в перспективе, к финансовым операциям. И это не теория: мошенники уже вовсю используют социальную инженерию, представляясь поддержкой MAX и выманивая SMS-коды. Захват аккаунта в таком сервисе - это не потеря переписки с мамой, а потенциальное разорение и подделка юридически значимых документов.
Утечки данных - отдельная больная тема. В январе 2026-го на DarkForums всплыло объявление о сливе 15 миллионов записей пользователей MAX: ФИО, телефоны, привязки к Госуслугам. Компания тогда опровергла, хакер отозвал заявление, и многие выдохнули. Но сам факт того, что подобные объявления появляются регулярно, а Bug Bounty от VK (до 5 миллионов рублей за критическую уязвимость) активно разыгрывается, говорит о другом: поверхность атаки огромна, а дыры есть. Даже если крупного взлома баз данных не случилось, утечки метаданных через уязвимости API или инсайдеров - вопрос времени. И когда это произойдет, каждый пользователь MAX получит не просто спам-звонки, а точный слепок своей цифровой жизни.
Сбои в работе тоже стали привычными. Март, апрель, май 2026-го - сотни жалоб на "Downdetector": сообщения не отправляются, уведомления не приходят, приложение зависает. В июне Apple добавила к этому собственную проблему - удаление из App Store, из-за чего у установленных пользователей отозвались push-токены. Компания направила апелляцию, но пока тишина. Веб-версия, которую официально рекомендуют как альтернативу, периодически выдает "бесконечную загрузку" или при попытке зайти через браузер - пугающее предупреждение о том, что соединение опасно, а данные могут украсть. Причина - отзыв SSL-сертификата, что для сервиса, который хочет быть "национальным щитом", выглядит откровенно непрофессионально.
Так можно ли доверять MAX? Ответ зависит от того, что вы считаете доверием. Если вам нужно удобно общаться в школьном чате, записываться к врачу через Госуслуги и получать уведомления от ЖЭКа - MAX справится. При условии, что вы отключили доступ к контактам, геолокации и не привязывали аккаунт к ЕСИА без крайней нужды. Но если вы юрист, врач, журналист, активист или просто человек, который не хочет, чтобы его переписки и список знакомых лежали на сервере с возможностью автоматического анализа - MAX категорически не подходит. Никакой "национальный щит" не заменит сквозного шифрования, где сервер физически не может ничего прочитать. В 2026 году выбирать мессенджер - это не вопрос удобства, а вопрос цифровой гигиены. И MAX, увы, скорее дырявый сейф, чем щит. А дырявый сейф - это не защита, это ловушка, в которую вы сами положили свои документы.
Начнем с главного - с шифрования. MAX позиционирует себя как современный защищенный мессенджер, но в его пользовательском соглашении и политике конфиденциальности нет ни слова о сквозном шифровании. Зато есть прямая формулировка о том, что компания использует автоматические фильтры для сканирования сообщений - спама, нелегального контента и так далее. Технически это означает одно: сервер имеет доступ к открытому тексту ваших переписок. В настоящих E2EE-решениях, таких как Signal с его протоколом Double Ratchet, сервер физически не может ничего прочитать или отфильтровать, потому что не владеет ключами. В MAX же ключи, судя по всему, хранятся на стороне сервера, либо шифрование работает только на транспорте (TLS), но не на стороне клиента. Независимые реверс-инженеры, изучавшие APK, не нашли следов Signal Protocol, нормальной генерации ключей на устройстве или хотя бы секретных чатов, как в Telegram. Голосовые сообщения, по некоторым данным, уходят в формате WAV без дополнительного шифрования. Это не уровень 2026 года, это уровень "мы просто надели презерватив на сервер".
Дальше - сбор данных. Здесь MAX вообще не стесняется. Помимо номера телефона, имени и даты рождения, приложение запрашивает доступ к геолокации, контактам, буферу обмена, списку установленных приложений (особенно если скачивалось через RuStore). В некоторых версиях нашли проверку на root и виртуальные окружения - классические техники, которые обычно используют банковские приложения или шпионское ПО. Социальный граф - кто с кем общается, когда, с какого IP и устройства - полностью доступен серверу. А поскольку MAX интегрирован с ЕСИА и Госуслугами, через один взломанный аккаунт злоумышленник получает доступ к документам, цифровой подписи, льготам и, в перспективе, к финансовым операциям. И это не теория: мошенники уже вовсю используют социальную инженерию, представляясь поддержкой MAX и выманивая SMS-коды. Захват аккаунта в таком сервисе - это не потеря переписки с мамой, а потенциальное разорение и подделка юридически значимых документов.
Утечки данных - отдельная больная тема. В январе 2026-го на DarkForums всплыло объявление о сливе 15 миллионов записей пользователей MAX: ФИО, телефоны, привязки к Госуслугам. Компания тогда опровергла, хакер отозвал заявление, и многие выдохнули. Но сам факт того, что подобные объявления появляются регулярно, а Bug Bounty от VK (до 5 миллионов рублей за критическую уязвимость) активно разыгрывается, говорит о другом: поверхность атаки огромна, а дыры есть. Даже если крупного взлома баз данных не случилось, утечки метаданных через уязвимости API или инсайдеров - вопрос времени. И когда это произойдет, каждый пользователь MAX получит не просто спам-звонки, а точный слепок своей цифровой жизни.
Сбои в работе тоже стали привычными. Март, апрель, май 2026-го - сотни жалоб на "Downdetector": сообщения не отправляются, уведомления не приходят, приложение зависает. В июне Apple добавила к этому собственную проблему - удаление из App Store, из-за чего у установленных пользователей отозвались push-токены. Компания направила апелляцию, но пока тишина. Веб-версия, которую официально рекомендуют как альтернативу, периодически выдает "бесконечную загрузку" или при попытке зайти через браузер - пугающее предупреждение о том, что соединение опасно, а данные могут украсть. Причина - отзыв SSL-сертификата, что для сервиса, который хочет быть "национальным щитом", выглядит откровенно непрофессионально.
Так можно ли доверять MAX? Ответ зависит от того, что вы считаете доверием. Если вам нужно удобно общаться в школьном чате, записываться к врачу через Госуслуги и получать уведомления от ЖЭКа - MAX справится. При условии, что вы отключили доступ к контактам, геолокации и не привязывали аккаунт к ЕСИА без крайней нужды. Но если вы юрист, врач, журналист, активист или просто человек, который не хочет, чтобы его переписки и список знакомых лежали на сервере с возможностью автоматического анализа - MAX категорически не подходит. Никакой "национальный щит" не заменит сквозного шифрования, где сервер физически не может ничего прочитать. В 2026 году выбирать мессенджер - это не вопрос удобства, а вопрос цифровой гигиены. И MAX, увы, скорее дырявый сейф, чем щит. А дырявый сейф - это не защита, это ловушка, в которую вы сами положили свои документы.
