MAX якобы полностью ломанули — хакеры получили данные 15,4 миллионов пользователей

Внутри: ФИО, юзернеймы, телефоны, токены сессий, пароли, метаданные, а также исходный код бэкенда, включая модуль шифрования. В приложение залезли через RCE-уязвимость в обработке медиафайлов, которую не поправили с бета-версии 2025 года. Вес слитых данных — 142 ГБ.

В качестве доказательства — данные одного из депутатов Госдумы.

Никогда такого не было и вот опять ?

В MAX дали комментарий:

Информация из анонимного источника — очередной фейк.

Специалисты Центра безопасности МАХ проверили сообщение и отмечают следующее:

1. МАХ не использует зарубежные сервисы хранения данных, в том числе от Amazon (AWS). Все данные нацмессенджера хранятся только на российских серверах;

2. МАХ не использует метод хэширования паролей Bcrypt;

3. Анализ логов не выявил подозрительной активности.

4. Обращения в программу BugBounty МАХ по данному вопросу также отсутствуют.

Что касается якобы информации о пользователе — она не имеет никакого отношения к МАХ.

МАХ не хранит данные в указанном в сообщении формате, в мессенджере нет данных о локации, дате рождения, почте пользователя, ИНН, СНИЛС и так далее. Также в МАХ нет username и «уровней аккаунта», поскольку мессенджер не маркирует пользователей по «уровням».

Повторяем — информация из анонимного источника — фейк.

Данные пользователей МАХ надежно защищены.

Хакер прямо на форуме дал заднюю, написав, что его публикация — фейк. Более того, он заявил, что с большим интересом следит за развитием государственного мессенджера MAX. Расходимся......

Официально тишина пока....

Госмессенджер Max взломали хакеры. Анонимные взломщики заявили, что слили данные более 15 млн россиян. В базе — ФИО, имена пользователей и подтверждённые номера телефонов. В качестве доказательства хакеры опубликовали данные, которые принадлежат депутату Госдумы Брыкину.

Источник: t.me

Комментарии: