Журналисты выяснили тревожную особенность российского мессенджера Max: отправленные снимки навсегда остаются на серверах и доступны по прямой ссылке даже после того, как пользователь удалил их из переписки.
В последние дни пользователи и IT-специалисты обнаружили серьезную уязвимость в работе мессенджера Max, который активно внедряется в школах и детских садах как обязательное средство коммуникации. Оказалось, что архитектура хранения медиафайлов в приложении создает риски для приватности, о которых многие даже не подозревают.
Как работает уязвимость
Суть проблемы в том, что каждому загруженному в Max изображению присваивается прямая URL-ссылка . Эти ссылки можно извлечь через веб-версию мессенджера — достаточно открыть код страницы и скопировать адрес изображения . Самое тревожное: такая ссылка продолжает работать даже после того, как файл удален из переписки .
Фактически медиафайлы хранятся на серверах Max отдельно от логики чатов. Удаление сообщения не приводит к физическому удалению самого файла с сервера — изображение просто теряет привязку к конкретному диалогу, но продолжает существовать в облаке и открываться по прямой ссылке .
Доступ без ограничений
Особую тревогу вызывает то, что такие ссылки можно открыть в любом браузере, даже в режиме инкогнито, и без какой-либо авторизации . Злоумышленник, получивший доступ к ссылке, может просматривать личные фотографии пользователя, даже не имея аккаунта в мессенджере.
Более того, по данным некоторых источников, значительная часть адреса остается одинаковой для всех файлов конкретного пользователя, что потенциально позволяет методом перебора получить доступ к другим изображениям того же человека .
Реакция разработчиков
Представители Max уже выступили с заявлениями, опровергающими наличие критической уязвимости. В компании утверждают, что личные фотографии доступны только владельцу или тем, кому он сам отправит ссылку, а сгенерировать или подобрать такие ссылки невозможно . Также разработчики настаивают, что данные пользователей находятся под надежной защитой.
Однако независимые исследователи продолжают настаивать на обратном, публикуя инструкции по извлечению ссылок на удаленные файлы .
Юридический контекст
Ситуация усугубляется недавними изменениями в российском законодательстве. С 1 января 2026 года вступило в силу постановление правительства, обязывающее онлайн-ресурсы, включая мессенджеры, хранить данные о действиях пользователей и их переписках в течение трех лет вместо одного . Это означает, что даже теоретически удаленные файлы могут сохраняться на серверах годами, формально соответствуя требованиям регуляторов.
Что делать пользователям
До выяснения всех обстоятельств эксперты рекомендуют соблюдать осторожность при использовании мессенджера Max для отправки личных фотографий. Особенно это касается снимков, которые не предназначены для публичного доступа или длительного хранения. Пользователям советуют либо вовсе отказаться от отправки чувствительного контента через этот мессенджер, либо использовать дополнительные средства шифрования.
Проблема напоминает аналогичные уязвимости, существовавшие много лет назад в других социальных сетях и мессенджерах, которые впоследствии были исправлены . Будем надеяться, что разработчики Max оперативно отреагируют на ситуацию и внесут необходимые изменения в архитектуру хранения пользовательских данных.