Информация о взломе MAX — это фейк. Об этом заявил источник, близкий к мессенджеру, в ответ на заявление хакера о доступе к данным пользователей национального мессенджера. В пресс-службе подтвердили эту информацию.

В пресс-службе подчеркнули, что МАХ не использует зарубежные сервисы хранения данных, в том числе от Amazon (AWS). Все данные нацмессенджера хранятся только на российских серверах; МАХ не использует метод хэширования паролей Bcrypt; анализ логов не выявил подозрительной активности. Обращения в программу BugBounty МАХ, о которой заявил хакеру также отсутствуют.

Что касается якобы информации о пользователе, которой поделился хакер, то «она не имеет никакого отношения к МАХ».

«МАХ не хранит данные в указанном в сообщении формате, в мессенджере нет данных о локации, дате рождения, почте пользователя, ИНН, СНИЛС и так далее. Также в МАХ нет username и «уровней аккаунта», поскольку мессенджер не маркирует пользователей по «уровням»», — заявили в VK.

Ранее на хакерском форуме под ником CamelliaBtw опубликован пост о «полном взломе» Max с дампом инфраструктуры и базы, где упоминаются примерно 15,4 млн записей с ФИО, логинами и подтверждёнными телефонами, плюс токены, хэши паролей и исходники.

Автор утверждает, что год имел постоянный доступ через RCE‑уязвимость в обработке медиа (стикер-паки), и обещает выложить часть SQL‑дампа в открытый доступ, если Max не заплатит «баунти».

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе всех новостей и событий Рунета.