MAX опроверг заявления хакеров о взломе и утечке данных 14,5 млн пользователей
Нацмессенджер MAX официально опроверг информацию о взломе, опубликованную на даркнет-форуме. Специалисты компании проверили заявление хакеров об утечке 14,5 млн записей и не нашли подтверждений. Хакеры, в свою очередь, угрожают выложить данные в сеть, если не получат выплату.
Российский нацмессенджер MAX опроверг информацию о взломе приложения. В компании заявили, что специалисты центра безопасности проверили заявление хакеров об утечке и пришли к выводу, что оно не имеет под собой оснований. Об этом в MAX заявили в ответ на запрос корреспондента SecPost.
В MAX подчеркнули, что мессенджер не использует зарубежные сервисы хранения данных, в том числе и от Amazon (AWS). Также приложение не использует метод хеширования паролей Bcrypt, упоминаемый хакерами в контексте утечки.
«Анализ логов не выявил подозрительной активности, — отметили в компании. — Обращения в программу BugBounty MAX по данному вопросу также отсутствуют».
В компании также заявили, что мессенджер не хранит данные в формате, который указывался хакерами в сообщении об утечке. Помимо этого, в мессенджере нет данных о локации, дате рождения, почте пользователя, ИНН, СНИЛС и прочего.
Информацию об утечке опубликовал сайт HackRead. Из сообщения следует, что на одном из даркнет-форумов было опубликовано заявление об успешном взломе мессенджера, по итогам которого оказались скомпрометированы 14,5 млн записей. Злоумышленник утверждает, что в них содержатся полные имена, логины и проверенные номера телефонов. Также якобы оказались скомпрометированы внутренние SSH-ключи, документация по API и «конфигурации AWS S3-бакетов».
«Взлом был осуществлен через критическую уязвимость 0-day RCE (удаленное выполнение кода) в движке обработки медиа мессенджера. Внедрив вредоносную нагрузку в метаданные файла стикерпака, мы получили устойчивый доступ. Мы обнаружили, что эта уязвимость существовала с бета-тестирования в начале 2025 года и так и не была исправлена», — приводят заявление хакеров HackRead.
Хакеры выступили с ультиматумом к разработчикам мессенджера и потребовали выплаты за «обнаружение уязвимости». В случае отказа в течение 24 часов он угрожает опубликовать первые 5 ГБ необработанных файлов базы данных на общедоступных торрент-трекерах.
В конце декабря SecPost сообщал, что в национальном мессенджере были найдены строчки кода от украинских специалистов, а также сами ИБ-эксперты критиковали мессенджер Max из-за отсутствия открытого ИБ-тестирования мессенджера.
Позже, в конце прошлого года, представители мессенджера Max сообщили, что по итогам 2025 года в рамках партнерства мессенджера с российскими ИБ-компаниями было заблокировано свыше 700 тысяч подозрительных аккаунтов и удалено более 1 миллиона вредоносных файлов с платформы.
Читайте также
