В апреле 2026 года на выставке «Связь-2026» технический директор Positive Technologies Алексей Батюк раскрыл неожиданно высокую цифру: с момента запуска программы Bug Bounty мессенджера MAX эксперты подали более 450 отчётов об уязвимостях, из которых 288 признаны валидными. Общая сумма выплат белым хакерам превысила 22 миллиона рублей. Эту новость быстро подхватили издания от «Коммерсанта» до Meduza, а канал «Бондаренко LIVE» посвятил ей отдельный выпуск с говорящим заголовком о «нацмессенджере», в котором нашли «более 200 уязвимостей».
Сама по себе программа Bug Bounty — нормальная практика: компании платят независимым исследователям за то, чтобы те находили дыры раньше злоумышленников. То, что MAX её запустил, — шаг в правильном направлении. Но конкретные типы найденных уязвимостей заставляют задуматься тех, кто пользуется или вынужден пользоваться этим мессенджером.
Что именно нашли
Среди наиболее распространённых уязвимостей оказались так называемые IDOR — Insecure Direct Object Reference. Принцип простой и оттого особенно неприятный: если в запросе к серверу поменять идентификатор объекта (например, ID чата или сообщения), сервер может вернуть данные другого пользователя без какой-либо проверки прав. То есть злоумышленнику достаточно перебрать числа в адресе запроса, чтобы прочитать чужую переписку.
Ещё в марте 2026 года всплыла отдельная история: изображения из личных сообщений в веб-версии MAX можно было открыть по прямой ссылке без авторизации. Причём ссылки продолжали работать даже после удаления картинки из чата. Казалось бы, мелочь — но именно такие «мелочи» в мессенджере, который позиционируется как национальная защищённая платформа, вызывают серьёзные вопросы.
В Центре безопасности MAX заявили, что все отчёты проходят проверку и уязвимости устраняются в приоритетном порядке. Это разумная позиция. Но она не отвечает на вопрос о том, сколько времени уязвимости существовали до того, как их обнаружили.
Bug Bounty не равно «всё под контролем»
Защитники MAX правы в том, что наличие Bug Bounty — хороший знак. Зрелые продукты вроде Google, Apple и крупных банков годами работают по аналогичным программам. Это не признак слабости, а признак серьёзного отношения к безопасности.
Проблема в другом. MAX запустили в марте 2025 года, и уже в первые месяцы работы Bug Bounty картина оказалась весьма насыщенной:
- более 450 поданных отчётов об уязвимостях
- 288 из них признаны валидными
- средняя выплата — около 349 тысяч рублей
- суммарные выплаты — свыше 23 миллионов рублей
Для продукта, которому меньше года, плотность находок высока. Это не катастрофа, но и не мелочь. Особенно когда речь идёт о мессенджере, который государство активно продвигает в школах, госучреждениях и корпоративной среде.
Контекст: у вас нет выбора мессенджера, но есть выбор, как им пользоваться
Параллельно с продвижением MAX продолжаются попытки ограничить доступ к другим мессенджерам. Telegram в России работает с периодическими перебоями, WhatsApp подвергается давлению. Для многих пользователей и целых организаций переход на MAX — не добровольное решение, а вынужденная мера.
Это создаёт специфическую ситуацию: людей фактически обязывают пользоваться инструментом, в котором только что нашли сотни уязвимостей — в том числе таких, которые позволяют читать чужие переписки. При этом привычные и хорошо изученные альтернативы либо заблокированы, либо находятся под угрозой блокировки.
Здравая реакция на такую ситуацию — не паника, а осторожность. Конкретно:
- не передавать через MAX чувствительную информацию — пароли, реквизиты, медицинские данные;
- не использовать веб-версию там, где можно обойтись без неё;
- следить за обновлениями: большинство IDOR-уязвимостей закрываются на уровне серверной логики, но обновлённый клиент иногда тоже важен.
Зачем держать MAX и Telegram одновременно
Многие пользователи оказались перед практическим вопросом: MAX нужен «для галочки» — для рабочих чатов, школьных групп, официальных каналов. Telegram нужен для всего остального: привычного общения, каналов, ботов, надёжного шифрования. Держать оба приложения — не лучший вариант: лишний мессенджер на телефоне, двойные уведомления, постоянное переключение.
Именно для этого сценария создан Максограм. Сервис связывает MAX и Telegram: входящие сообщения из MAX приходят прямо в Telegram, там же на них можно ответить. MAX при этом можно вообще удалить с телефона — достаточно один раз отсканировать QR-код в боте @maxogrambot. Вы остаётесь в экосистеме Telegram с его сквозным шифрованием и привычным интерфейсом, но не выпадаете из рабочих чатов и официальных каналов MAX.
В свете новостей об уязвимостях это решение приобретает дополнительный смысл: меньше времени, проводимого непосредственно в приложении MAX, — меньше потенциальная поверхность атаки. Вы не избавляетесь от MAX полностью там, где он нужен по работе, но максимально сокращаете своё в нём присутствие.
Итог
Находки белых хакеров в MAX — не повод для паники, но повод для трезвой оценки. Мессенджер молодой, Bug Bounty работает, уязвимости закрываются. Тем не менее IDOR-бреши с доступом к чужим перепискам — это не технический нюанс для специалистов, а прямой риск для обычного пользователя. Разумная стратегия сегодня — свести контакт с MAX к минимуму, сохранив при этом доступ ко всем нужным чатам. Максограм позволяет именно это: MAX остаётся в вашем цифровом арсенале, но не занимает место в телефоне и не требует ежедневного внимания.