Как Max стал национальным мессенджером и что известно о его кибербезопасности

Десятки разработанных мессенджеров, но все — корпоративные

В последние годы реестр российского ПО становится краеугольным камнем отечественного IT. Компании стремятся зарегистрировать в нем собственные разработки, чтобы получить поддержку, а потребители обращаются к нему, чтобы понять, каким продуктам доверяет государство. Реестр российского ПО дает возможность получить срез состояния тех или иных сфер в отечественном IT. И, судя по нему, у российских разработчиков есть амбиции в создании собственных мессенджеров.

ПО в реестре распределено по кодам-классификаторам. Код класса 06.13 включает «программы для обмена мгновенными сообщениями» — и в нем содержатся более 25 единиц ПО, разработанного в России, как от крупных и известных игроков, так и от малозаметных компаний. Здесь VK Teams, «МТС Линк» и «Теремок» от «РТК ИТ Плюс» соседствуют с нишевыми «СтройПро» от АНО «Иннополис», «Экзархом», «Крэлкома», «КОСКО Мессенджером» от «Академии бизнес-решений».

Обращает внимание то, что преобладающая часть указанных в реестре разработок — это корпоративные мессенджеры. И, как отмечает вице-президент по информационной безопасности «СМИ Холдинга» Андрей Решетов, российский рынок корпоративных мессенджеров уже сформировался. «Новые игроки давно не появлялись», — отмечает собеседник SecPost.

Решетов хорошо знаком с рынком: еще в середине 2023 года он познакомился с корпоративным мессенджером «Криптофон», разработанным в НТП «Криптософт». Решетов и его коллеги продвигали это решение как ПАК со смартфонами Aquarius. Проект с самого начала разворачивался таким образом, чтобы серверная инфраструктура размещалась в дата-центре компании-заказчика, обеспечивая максимальную безопасность.

«Криптофон» не рассматривался в качестве массового продукта, говорит Решетов. Была задача создать максимально защищенный мессенджер. Для этого все данные (как на клиенте, так и передаваемые) были зашифрованы, в том числе и на серверах. Все шифрование ведется в режиме «точка-точка» — то есть сервер вообще не может получить доступ к данным пользователей. При этом используется удостоверяющий центр собственной разработки с сертификатом от ФСБ. Как подчеркивает Решетов, это «делает невозможным появление посторонних пользователей в корпоративной сети».

Но опыт в корпоративном сегменте решили не масштабировать до массового пользователя. Решетов поясняет, почему это представляет собой непростую задачу: «На практике довольно сложно сочетать массовость и безопасность».

«Безопасность должна быть обеспечена на уровне архитектуры, серверная инфраструктура должна располагаться в контуре ИТ-системы корпорации и в юрисдикции страны, в которой работает корпоративный мессенджер. Плюс зачастую для работы мессенджера такого масштаба необходим отказ от избыточных функций», — отмечает эксперт.

По мнению Решетова, этот набор нюансов и ставит перед многими отечественными разработчиками корпоративных мессенджеров препятствие для того, чтобы уйти в массовый сегмент.

Но, несмотря на это, некоторые компании все-таки решили попробовать себя в создании массового мессенджера — и сразу замахнулись на суперапп. «Ред Софт», разработавшая защищенный корпоративный мессенджер «Ред V», в августе 2025 года анонсировала разработку «Молнии». Как писал Cnews, проект готовится совместно с Passion Tech — вероятно, речь идет о китайской компании Passion, с которой «Ред Софт» заключал соглашение о сотрудничестве еще в июне 2025 года. Сообщалось, что Passion в России представляет соучредитель компании «Интеллектуальное производство», известный спортивный функционер Умар Кремлев.

«Молния» позиционировалась как суперапп: помимо общения в мессенджере можно оплачивать товары и услуги, вести трансграничную торговлю. На старте пользователям обещали функцию переводов по СБП, а владельцы бизнес-аккаунтов, в перспективе, должны были получить возможность пользоваться китайскими платежными системами. И это еще не все связи с Китаем: в мессенджере должен быть встроенный ИИ, который будет переводить контракты в соответствии с законами РФ и КНР, аналогичный инструмент предусматривался и для цифровых подписей.

Из сферы безопасности заявлялось хранение данных на серверах в Москве и Новосибирске и идентификация пользователя по лицу, а также сквозное шифрование.

Пресса обратила внимание на сходство функционала мессенджеров «Молния» и Max, а на фоне критики Max разработку «Ред Софт» вписали чуть ли не в конкуренты продукта от VK. Но в начале декабря 2025 года ТАСС опубликовал комментарий генерального директора (и по совместительству учредителя) «Молнии» Михаила Толпышкина, который развеял слухи о возможной борьбе за статус нацмессенджера.

«Россия и Китай сегодня находятся в новом периоде технологического взаимодействия. И нам необходима цифровая инфраструктура, которая объединяет люди, сервисы и бизнес в одной платформе», — заявил Толпышкин.

Из заявления пресс-службы также следовало, что «сервис разрабатывается как функциональное решение, ориентированное на быстро растущий российско-китайский турпоток, предпринимателей, авторов контента, а также на компании, ведущие трансграничную деятельность». Запуск мессенджера, который сможет укрепить коммуникацию между Китаем и Россией, запланирован на начало 2026 года.

Отметим, что Михаил Толпышкин также является генеральным директором компании «Рэд Интернэшнл». Компанию делят «Ред Софт» (51%) и основатель бренда Passion Ю Синьюй (49%).

SecPost обратился в пресс-службу «Ред Софт», чтобы узнать, чем помог опыт в разработке «Ред V» в работе над «Молнией», за счет чего планируют обеспечивать безопасность мессенджера и что думают о конкуренции с мессенджером Max. В компании приняли решение воздержаться от комментариев.

В тени Max: были ли другие претенденты на стаус нацмессенджера

Найти в реестре отечественного ПО мессенджер для масс-маркета непросто: SecPost насчитал всего три единицы. Это разрабатываемый в Татарстане GOmessenger, по дизайну крайне сильно напоминающий Telegram, мессенджер Max и «77 Диалог» от одноименной компании.

«77 Диалог» конкурировал с Max за статус нацмессенджера, как минимум, с июня 2025 года. Как писал Forbes, компания обращалась к председателю Госдумы Вячеславу Володину с просьбой привлечь их компанию к разработке национального мессенджера. Директор компании, тогда Ваник Афанасьяди, заявлял в обращении: «Предлагаем привлекать нас и не монополизировать рынок, отдавая преференции одной компании». Речь, как уточнял директор компании, шла о VK.

Письмо ушло в Госдуму, от нее — в Минцифры. По словам директора компании, Аристо Афанасьяди (директор не менялся, он сменил имя), особого эффекта обращения не возымели. «Все переписки и ответы носят исключительно формальный и бюрократичный характер», — отметил в комментарии SecPost Афанасьяди.

«Мы занимаемся разработкой мессенджера с начала 2023 года. Изначально разрабатывали идею национального мессенджера, но после того, как идею перехватило Минцифры, мы начали позиционировать себя как многонациональное приложение для общения», — говорит Афанасьяди.

Мессенджер все еще в разработке, но она приближается к финалу. По словам директора «77 Диалог», сейчас идет финализация базы разработки и открытые тесты. Компания рассчитывает на органичный рост пользователей, и только когда компания будет довольна результатами разработки, начнется широкий маркетинг «в России и по всему миру».

«Дальней задачей является нести высокую культуру общения по всему миру, поэтому мы уделяем большое внимание деталям общения. Например, есть и белый, и секретный чат: в первом ничего удалять нельзя, во втором можно», — раскрывает детали Афанасьяди. Сроки запуска мессенджера он не уточнил.

Афанасьяди не просто так упоминал «перехват идеи нацмессенджера» со стороны Минцифры. Обращение от «77 Диалог» в Госдуму датировалось 10 июня. В тот же день Госдума приняла во втором и третьем чтениях поправки к закону о создании в России «многофункционального сервиса обмена сообщениями».

Тогда же Афанасьяди заявил в комментарии Forbes: «Государство не имеет права рекламировать конкретные компанию и продукт, говорить, что это национальный мессенджер».

Максимум поддержки для Max

О появлении мессенджера Max заявили в марте 2025 года. VK опубликовала пресс-релиз, в котором сообщала о запуске бета-версии «платформы MAX с мессенджером, конструктором чат-ботов, мини-приложением и платежной системы». Напрямую об амбициях создать российский аналог китайского супераппа WeChat тогда еще не заявлялось: о таких перспективах рассуждали только источники «Ведомостей», близкие к VK. Они же и отмечали, что стать полноценным аналогом восточного мессенджера позволит интеграция с государственными сервисами.

Менее чем два месяца спустя, в мае 2025 года, глава отечественного Минцифры Максут Шадаев, выступая на TAdviser SummIT, предположил, что в перспективе у Max появится доступ к порталу Госуслуг. Позднее, 4 июня, Шадаев, выступая на совещании с членами правительства, рассказал президенту о наработках VK.

«Недавно компания VK вывела на рынок полностью российский мессенджер, который по своей базовой функциональности сопоставим с зарубежными конкурентами, не уступает, — говорил глава министерства. — На этой платформе, Владимир Владимирович, также возможно организовать дополнительное предоставление государственных сервисов. Наши граждане, например, могут использовать мессенджер для предъявления цифровых документов, которые могут заменить бумажный паспорт в простых бытовых ситуациях».

Президент отметил, что без поддержки отечественного интернета будет трудно поддерживать мессенджер. И поддержал идею о создании продукта, причем призвал и правительство поступить соответствующе.

«Сейчас обращаюсь к руководителям всех ведомств Правительства — прошу иметь в виду и прошу целенаправленно организовать работу по поддержке российского мессенджера, а для этого услуги, которые предоставляют различные ведомства, финансовые учреждения и так далее, нужно переводить вот на эту платформу, — сказал Владимир Путин. — Это чрезвычайно важно».

Уже 9 июня Максут Шадаев выступал перед ИТ-комитетом Госдумы, отвечая на вопросы депутатов по поводу Max. В релизе, посвященном этому поводу, указано, что министр и депутаты «обсудили законопроект о создании национального мессенджера Max». То есть кто станет главным фаворитом в гонке за статус нацмессенджера, уже тогда было понятно. Однако Шадаев подчеркивал:

«Важно уточнить, что не государство выступает инициатором создания этого продукта. Государство его поддерживает для того, чтобы дать ему возможность конкурировать за аудиторию», — отмечал министр.

Но в то же время, отвечая на вопрос о том, смогут ли другие российские сервисы, подходящие под критерии «национального», конкурировать с Max, министр говорил: «Пока нам важно запустить хотя бы один. Если у нас была бы конкуренция и выбор между мессенджерами, думаю, мы по-другому конфигурировали бы законопроект и вели эту дискуссию».

Из релиза Минцифры остается неизвестным, задавались ли депутаты вопросом, насколько целесообразно повышать конкурентоспособность Max в условиях, когда конкуренции, на взгляд Шадаева, нет.

Чуть более конкретно выразился председатель совета Фонда развития цифровой экономики и экс-советник Путина по интернету Герман Клименко, который заявил прямо, что на мессенджер перейдут «быстро и принудительно или медленно и добровольно». А помочь в этом, по мнению Клименко, может блокировка или замедление Telegram.

Всего за несколько месяцев Max перешел из разряда бета-продуктов VK в мессенджер, поддержка которого поручена президентом всему правительству. Скорость могла бы показаться обескураживающей, если бы не предпосылки. Еще в 2015 году Александр Жаров, тогда руководитель Роскомнадзора, заявил о необходимости создания в России национального мессенджера. В марте 2020 года Жаров возглавил «Газпром-Медиа Холдинг», а в 2021 году «Газпром-медиа» стал акционером VK.

16 декабря SecPost направил запрос в Минцифры, чтобы узнать — рассматривало ли ведомство какие-то другие мессенджеры в качестве альтернативы Max и как министерство оценивает ситуацию на рынке мессенджеров в России. На момент выхода материала ответ не поступил.

Испытание публичностью: первые проблемы и реакция разработчиков Max

Ближе к концу июня 2025 года на рекламу и продвижение Max обратило внимание ИБ- и ИТ-сообщество страны. 27 июня телеграм-канал Scamshot, специализирующийся на освещении борьбы с интернет-мошенниками, обратил внимание на манифест Max. Более половины кода манифеста приложения оказались из мессенджера «ТамТам», также ранее разрабатываемого VK.

«MAX хранит метаданные — IP-адрес, контакты, время активности. И потенциально может передавать эти данные третьим лицам, включая государственные органы, — писал телеграм-канал. — Как вишенка на торте, часть из собираемых им данных отправляются на зарубежные сервера».

Уже на следующий день исследователи кода мессенджера обнаружили, что в библиотеках, используемых Max, есть материалы из недружественных России стран: США, Польши и Украины. В тот же день пресс-служба Max обратилась в Scamshot с заявлением: «Все данные МАХ и данные пользователей хранятся в российских дата-центрах и не передаются за пределы РФ».

Бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий в своем телеграм-канале также отреагировал на появление Max. Он обратил внимание на то, что среднесписочная численность сотрудников компании «Коммуникационная платформа» (компания, управляющая Max и принадлежащая VK) составляет два человека, а между регистрацией уведомления и датой внесения в реестр операторов персональных данных Роскомнадзора прошел всего один день.

«Коммуникационная платформа» была основана в сентябре 2024 года, компания прописана в Москве. До 23 декабря 2025 года компанию возглавляла Елена Багудина, директор в структурах VK («ВК Рекламные технологии», «Компания ВК»). Затем компанию возглавил Фарит Хуснояров, экс-директор дочки Ростелекома» — «РТ Лабс», работал над Госуслугами. Пока опубликована финансовая отчетность «Коммуникационной платформы» только за 2024 год. Согласно ей, компания закрыла год с чистым убытком в 12,5 млн. руб.

«Согласно реестру РКН, данное ООО [«Коммуникационная платформа»] обрабатывает ПДн широкого спектра и точно более чем 100 тыс. субъектов (уже загрузок более 2 миллионов), — писал Лукацкий в середине июля. — Согласно ПП-1119 уровень защищенности ПДн, который может быть установлен в «Коммуникационная платформа», не может быть ниже 3-го, а при выборе актуальных угроз 1-го или 2-го типа (а даст ли ФСБ выбрать ниже?) — не ниже 1-го (2-й в принципе тут не предусмотрен). Как при 2-х сотрудниках реализовано требование наличия собственного подразделения по защите ПДн?»

Причем «несуразности», как их назвал Лукацкий, на этом не кончаются. По словам эксперта, согласно новому 117-му приказу ФСТЭК, класс защищенности информационной системы, в которой разворачивается Max, должен быть не ниже того, что и у ГИС, с которым она взаимодействует.

«А так как там заявлено взаимодействие с ЕСИА, то класс защищенности не должен быть ниже К1, что накладывает еще больше организационных ограничений по ИБ, которые должно выполнять «Коммуникационная платформа». Но способно ли оно это выполнить? Ведь даже поручить «ВК» (как в части ПДн) свою защиту оно не может, так как у ООО «ВК» нет лицензии ФСТЭК на деятельность по ТЗКИ (техническая защита конфиденциальных данных), что требуется по закону. Такая лицензия есть у «ВК Цифровые технологии», но среди указанных там видов деятельности отсутствует мониторинг ИБ», — отметил Лукацкий.

По итогу краткий перечень летних претензий к мессенджеру Max составлял: непрозрачная система выдачи разрешений для приложения, использование зарубежного кода, непонимание пользователями механики ответственности в случае киберинцидента в мессенджере и неизвестный принцип устройства безопасности мессенджера при работе в связке с ЕСИА и, позднее, банками. Власти и Max вели антикризисную работу по этим нареканиям совместно.

В августе Максут Шадаев заявил, что нацмессенджер уже согласовал с ФСБ безопасную связку с ЕСИА, она была на стадии обкатки. Поставщиком безопасной связки называли ИБ-компанию «Инфотекс», имеющую лицензии Минцифры, ФСТЭК и ФСБ.

«Минцифры подтверждает согласование модели угроз по Max для доступа к инфраструктуре «Госуслуг» со стороны ФСБ. Все необходимые разрешения получены, ведется техническая реализация и тестирование», — подчеркнул министр.

Также была объявлена Bug Bounty — ИБ-специалистам было предложено протестировать Max на площадках BI.ZONE и StandOff. На BI.ZONE, на конец декабря, было отправлено 36 отчетов, 9 из которых были приняты — всего было выплачено 586 тыс. руб., средняя выплата составила 65 тыс. руб. Программа на StandOff была более плодотворной — всего было выплачено 12,4 млн руб., принято 162 из 273 отчетов.

Эти программы, вероятно, должны были помочь снять нарекания по поводу использования в Max иностранных библиотек. Но, как отметил в комментарии SecPost vCISO и архитектор информационной безопасности UserGate Дмитрий Овчинников, «заимствование библиотек — это нормальное явление в современном IT-мире».

«Сам факт того, что хранилище принадлежит разработчику другого государства, еще ни о чем не говорит. Необходимо проверять данные на отсутствие не декларированных возможностей вроде бэкдоров или передачу информации в подобного рода библиотеках. Такая проверка является необходимым этапом при тестировании и сертификации», — отметил Овчинников.

С ним согласился технический директор компании «Стахановец» Сергей Щербаков — использование открытых библиотек это распространенная мировая практика. И у этого даже есть преимущество: код таких библиотек открыт и его годами проверяют тысячи независимых разработчиков по всему миру — это только играет на повышение надежности.

«Критика по поводу иностранных компонентов в коде отчасти справедлива, но чтобы её правильно понять, нужен важный контекст. Главный риск связан не столько с тем, откуда взята та или иная часть кода, а с тем, как она используется и контролируется», — подчеркнул Щербаков.

«В конечном итоге голосует всегда потребитель»

Однозначного мнения о Max среди экспертов по ИБ так и не удалось сформировать, считает Щербаков из «Стахановца». Оно разнится, исходя из того, на что они обращают внимание. С одной стороны, мессенджер построен на технологической базе «ВКонтакте», которую многие специалисты уже разбирали и проверяли, что говорит в его пользу. В нем, как утверждает Щербаков, также реализованы ключевые меры защиты: сквозное шифрование и хранение данных на российских серверах. Но с другой стороны, любой крупный сервис для общения автоматически становится объектом пристального внимания исследователей безопасности.

«В целом профессиональное сообщество сходится во мнении, что, хотя в мессенджере виден осознанный подход к безопасности пользователей, полностью развеять сомнения можно лишь с помощью открытых и независимых аудитов — то есть проверок кода и инфраструктуры авторитетными российскими и международными компаниями, результаты которых должны быть доступны для публичного изучения», — подчеркнул Щербаков.

Эксперт считает, что на увеличение доверия будет работать независимый аудит безопасности — проверка кода и систем авторитетными специалистами, с обязательной публикацией результатов. Также нужно продолжать работу с Bug Bounty — и доносить до общественности ее результаты.

«А для долгосрочного доверия важно привлекать к оценке и советам независимых экспертов. Такой открытый и системный подход — лучший способ показать, что безопасность является реальным приоритетом», — говорит Щербаков.

Овчинников из UserGate считает, что Max приходится непросто: рынок и аудитория глобальных мессенджеров уже давно поделены между крупными мессенджерами. Это зрелый рынок, выход на который сопряжен с рядом рисков — продукт сложный, многокомпонентный, должен поддерживать разные устройства, иметь отлаженную инфраструктуру.

«Всеми этими задачами ведущие игроки рынка занимались в течение последних десяти лет, поэтому перед разработчиками отечественного мессенджера стоит серьезный вызов — в короткие сроки выдать сложный функционал», — считает Овчинников.

Популяризации, по мнению эксперта, должна помочь стабильная работа сервиса. Кроме того, механизмы доступа приложения к разрешениям на смартфоне следует сделать прозрачнее. Тогда конкурировать с зарубежными разработками станет проще, ведь это «повысит популярность в народных кругах».

«Идеальной ситуацией является, когда код ПО открыт для изучения всем желающим. Подобный подход позволяет быстро находить и устранять уязвимости, однако он фактически раскрывает архитектуру и ключевые особенности работы сервиса. Поэтому для тестирования такого рода ПО можно устроить закрытые сессии BugBounty», — поддерживает Щербакова Овчинников.

Ветеран работы с корпоративными мессенджерами Андрей Решетов называет Max «хорошим продуктом». Он полагает, что в ближайшее время Max будет привлекать крупные российские ИБ-компании для дальнейшего поддержания и совершенствования безопасности мессенджера.

«В нише национальных мессенджеров после появления Max мы видели попытки разработки новых ИТ-решений. Но у Max есть огромная фора: мессенджер успел активно интегрироваться с госсервисами и активно развивается в этом направлении, так что новым игрокам придется пройти большой путь, чтобы конкурировать с Max», — подчеркивает Решетов.

Разработчик мессенджера «77 Диалог» Аристо Афанасьяди, говоря о собственной разработке, отмечал — приложение будет развиваться бесконечно, ведь его остановка приведет к деградации.

«В конечном итоге голосует всегда потребитель, поэтому лидером рынка будет самый качественный и востребованный продукт. Мы уже говорили, что государство должно обеспечивать здоровую конкуренцию и комфортные условия для создания продуктов. Людям свойственны ошибки, но время расставит все на свои места», — подчеркнул Афанасьяди.

На прямой линии с Владимиром Путиным, президент страны, отвечая на вопрос блогера Валентина «Wylsacom» Петухова о том, сможет ли Max конкурировать с другими мессенджерами, заявил: «Уверен, что и у Max будут конкуренты».

SecPost направил запрос в Max, чтобы узнать, как в компании относятся к критике из-за использования иностраных библиотек, планируют ли проведение открытого и независимого аудита кода, и возможно ли создание более прозрачного управления разрешениями. В компании заявили, что пока воздержатся от комментариев.