Государственный надзор по замыслу, основанный на иностранном коде Государственный мессенджер VK Max работает с зарубежными библиотеками и библиотеками с открытым исходным кодом, включая украинские. Он создан для слежки за пользователями в режиме 24/7 и передачи всех собранных данных на серверы VK. Обновленная политика конфиденциальности открыто снимает с себя ответственность за безопасность сообщений.
Подконтрольный государству клон Telegram‑ доверенный VK На фоне запретов, выхода иностранных ИТ-компаний и стремления к созданию “суверенного” цифрового пространства власти решили создать полностью контролируемую альтернативу Telegram. Проект был реализован на платформе "ВКОНТАКТЕ", известной постоянными утечками данных и культурой хищения денег. Max был представлен как универсальный центр с мини‑приложениями, ботами, платежами, машинным обучением и интеграцией с Госуслугами и банками. Еще до запуска политика компании позволяла обмениваться данными с партнерами и любыми органами власти по запросу.
Шаткий дебют Обнажает Низкое качество и тонкие идеи На момент релиза Max казался реликтом эпохи "Одноклассников": кривоватый интерфейс, баги и задержки, а также часто неудачные регистрации. Нейронные аватары Cringe заменяли суть, в то время как функция calling была оформлена как главная функция. Публичные сообщества, “кружки” и любые прорывные идеи отсутствовали, поскольку пользователи заваливали их мемами и пародиями.
Искусственное внедрение с помощью мандатов и привязки к экосистеме Новый закон требовал, чтобы с 1 сентября Max был предустановлен на все смартфоны, планшеты и прочие устройства, продаваемые в России. Раздутые отзывы, раздутые опросы и хвастовство “миллионами регистраций” создавали видимость спроса. Бюджетники от правоохранительных органов до учителей были поставлены в очередь на принудительный перевод, а школьные чаты в шести регионах были переведены “добровольно”. Планируется, что SFEm для студентов и преподавателей будет интегрирован к сентябрю, и ходят слухи о более тесных связях с Госуслугами, банковским делом и даже службой 112, что позволит направлять повседневную жизнь через единую систему, контролируемую VK.
Политика Конфиденциальности Нормализует Общий сбор Данных Недавно обновленная политика Max разрешает сбор и передачу всех персональных данных любому государственному органу по первому запросу. Это касается фотографий профиля, номеров телефонов, IP-адресов, моделей устройств, постоянного отслеживания местоположения, типов браузеров, интернет-провайдеров и даже содержимого адресной строки, а файлы cookie используются для постоянной идентификации. А vc.ru в ходе расследования было описано поведение, похожее на вирус: сбор информации об устройстве, чатах, геолокации, анализ фотографий и чтение других приложений, а затем отправка всего этого на серверы VK. Несмотря на заявления о “суверенитете”, кодовая база основана на иностранных компонентах, включая библиотеки из Польши, США и Украины.
Эскалация Кибератак Обнажает уязвимость стран Ситуация в стране ухудшается: в результате взлома "Аэрофлота" были задействованы устаревшие системы, такие как Windows XP, что позволило злоумышленникам добраться до контроллеров домена и поставить под угрозу весь ИТ-комплекс. Они получили доступ к полетным данным, системам управления персоналом и внутренним записям, уничтожили около 7000 серверов и обошлись "Аэрофлоту" почти в 500 миллионов рублей. Под удар попали "Лукойл", "Билайн" (пострадали более 44 миллионов пользователей), аптечные сети, клиники, WinLab и даже "Ростикс", а группа компаний Steki Vervulf распространяла фишинг с зараженными приложениями на научно-исследовательские и оборонные предприятия. По оценкам экспертов, число атак выросло на 70-200% в 2025 году и может продолжать расти до 50% в год, особенно в сфере финансов, розничной торговли и телекоммуникаций.
Критический недостаток RCE Обеспечивает полное дистанционное управление Max содержит критическую ошибку удаленного выполнения кода, которая позволяет выполнять произвольные команды на своих серверах или пользовательских устройствах. Вводимые пользователем данные передаются в интерпретатор команд с помощью сценариев оболочки, а слабая фильтрация специальных символов превращает созданные сообщения в исполняемые инструкции. Последствия включают в себя кражу сообщений, паролей, файлов и фотографий, перехват до или после расшифровки, полный захват учетной записи, распространение вредоносных программ, сбои сервера и атаки по всей платформе. Команды проверки концепции могут запускать CMD или Notepad и переводить сервер Max в автономный режим.
Исправление отложено, риски сохраняются — Держитесь подальше “ВКОНТАКТЕ” объявила награду за ошибку "до пяти миллионов", однако разумным шагом было бы ограничить доступ Max до тех пор, пока не будет исправлено. Даже ФСБ возражала против подключения Max к Госуслугам из‑за риска утечки персональных данных, хотя, возможно, разрешение уже было получено. Учитывая репутацию и безразличие "ВКОНТАКТЕ", своевременное обновление сомнительно. Самый безопасный способ ‑ не устанавливать Max и предупредить, особенно пожилых родственников, поскольку миллиарды рублей были вложены в небезопасную аферу, контролируемую государством.