Хакеры против MAX: в сети появилось заявление о взломе мессенджера

Фото: Крылатское.ру

В среду, 14 января, на одном из закрытых киберфорумов появилось сообщение о взломе мессенджера MAX. Пользователь под псевдонимом CamelliaBtw заявил, что получил доступ к персональным данным миллионов пользователей. Официального подтверждения этой информации от компании-разработчика VK или государственных органов на текущий момент нет.

Автор сообщения о взломе MAX предоставил детали, которые с технической стороны выглядят правдоподобно, что и привлекло внимание участников форума, а также представителей тематических СМИ. Так, по его словам, доступ к системам был получен в результате найденной уязвимости удаленного выполнения кода, которая скрывалась в медиапроцессоре приложения.

Эксплойт, уточняет CamelliaBtw, мог быть активирован через отправку специально сформированного набора стикеров. После этого злоумышленник экспортировал объем данных, оцениваемый примерно в 142 гигабайта в сжатом виде.

Что оказалось под угрозой по версии хакера

• Персональные записи 15.4 миллиона пользователей, включая ФИО, логины и привязанные номера телефонов.
• Токены аутентификации, которые являются цифровыми ключами для доступа к аккаунтам.
• Хеши паролей и полная метаинформация обо всех переписках с датой и временем.
• Внутренние ключи доступа к серверам, конфигурационные файлы и исходный код платформы.
• Нешифрованные медиафайлы, которыми обменивались пользователи.

В качестве доказательств хакер выложил персональные данные одного из пользователей, предположительно депутата Госдумы, включавшие номер телефона, адрес и т.д.

CamelliaBtw выдвинул компании VK ультиматум. Он потребовал выплаты вознаграждения, угрожая в противном случае выложить первые 5 ГБ исходных данных на публичные файлообменные трекеры. Отведенный на ответ срок составляет 24 часа.

Официальная позиция: молчание и прошлые опровержения

На момент публикации данного материала официальные представители мессенджера MAX и Министерства цифрового развития РФ не прокомментировали ситуацию. При этом ранее, в октябре 2025 года, аналогичные слухи об утечке уже опровергались.

Тогда в пресс-службе заявляли, что предоставленные образцы данных не соответствуют реальной информации пользователей. Однако новый инцидент отличается значительно большим объемом технических подробностей, что заставляет экспертов отнестись к нему серьезно.

Инцидент затрагивает проект, имеющий особый статус. MAX, запущенный 26 марта 2025 года, официально продвигается как «национальный мессенджер». Его глубоко интегрировали с порталом Госуслуги и системой цифровой подписи.

Национальный проект под прицелом

С сентября 2025 года приложение в принудительном порядке устанавливается на все новые смартфоны, продаваемые в России. По данным разработчика, аудитория сервиса росла экспоненциально и к концу года превысила 75 миллионов зарегистрированных аккаунтов.

Быстрый рост и административные меры по распространению вызывали вопросы у специалистов по безопасности. Критики неоднократно указывали на отсутствие в мессенджере сквозного шифрования по умолчанию. Эта архитектурная особенность означает, что компания-оператор теоретически имеет техническую возможность просматривать содержимое переписок. Нынешний инцидент потенциально свидетельствует, что доступ к данным могли получить не только авторизованные лица. Впрочем, официально эту информацию также пока никто не комментировал.