Про реальную анонимность в MAX
Начну сразу с главного: если вы думаете, что в MAX можно стать полностью невидимкой, у меня для вас плохие новости. Мессенджер намертво привязан к номеру телефона, и этот номер становится вашим главным идентификатором. Так что мечты в стиле "никто не узнает, кто я" можно оставить для других сервисов.
Зато вполне реально другое: сделать так, чтобы вас не находили все подряд, минимизировать входящий спам от незнакомцев, защитить вход в аккаунт и подстраховаться на случай попытки угона. Вот это уже достижимо и полезно.
Я для себя разделил приватность на три уровня. Первый, базовый: скрыл статус "в сети", ограничил поиск по номеру, регулярно проверяю активные сессии. Второй, усиленный: включил двухфакторную аутентификацию (в MAX она называется "Пароль для входа"), активировал Безопасный режим. Третий, параноидальный: минимум разрешений приложению на телефоне, чистка сессий каждую неделю, отдельная почта для восстановления доступа. Выбирайте свой уровень в зависимости от задач.
Шифрование без сложных терминов
Когда разработчики пишут про безопасность, они любят употреблять слово "шифрование". Только вот шифрование шифрованию рознь, и понимать разницу важно.
Шифрование при передаче
В описании приложения MAX говорится, что данные шифруются при передаче. Переводя на человеческий язык: пока ваше сообщение летит от телефона до серверов, оно зашифровано. Это защищает от перехвата в публичном Wi-Fi или от "прослушки" на маршруте.
Что это дает: злоумышленник, который сидит в той же кофейне и пытается перехватить ваш трафик, увидит только набор непонятных символов. Что это НЕ гарантирует: того, что содержимое не может быть прочитано на стороне самого сервиса при обработке или хранении.
Сквозное шифрование
Совсем другое дело, когда речь про end-to-end шифрование. Тут ключи есть только на устройствах участников переписки, а сервер видит лишь "мусор", но не смысл. На момент написания этого материала в публичных документах MAX чаще упоминается именно шифрование при передаче, а не сквозное. Плюс в пользовательском соглашении есть упоминания автоматических систем и фильтров для борьбы со спамом, что косвенно указывает на обработку сообщений на стороне сервиса.
Простое правило
Боитесь перехвата в публичной сети? Шифрования при передаче достаточно. Беспокоитесь о доступе к содержимому на серверах? Ищите сервисы со сквозным шифрованием и независимыми аудитами. Переживаете за угон аккаунта? Тут спасает двухфакторная защита, контроль сессий и защита номера телефона у оператора.
Настраиваем приватность за 5 минут
Сейчас покажу базовую настройку, которая займет буквально несколько минут, но закроет большинство типовых проблем.
Включаем двухфакторную защиту
В MAX эта штука называется "Пароль для входа", и найти её можно в разделе безопасности. Суть простая: при новом входе кроме кода из SMS потребуется еще и ваш пароль. Даже если кто-то получит доступ к SMS, без пароля зайти не получится.
Открываете Профиль, идете в Безопасность, находите пункт "Пароль для входа" и устанавливаете надежный пароль. Заодно укажите почту для восстановления и подтвердите её кодом. По поводу пароля: лучше использовать 12+ символов, не повторять пароль от почты или банка. Хороший вариант: фраза из нескольких слов, которую легко запомнить, но сложно подобрать.
Прячем статус "в сети"
Эта настройка убирает лишнюю "социальную телеметрию" и снижает интерес случайных наблюдателей. Профиль → Безопасность → настройка видимости статуса "в сети" → выбираете вариант "Никто". Всё, теперь посторонние не видят, когда вы онлайн.
Ограничиваем поиск по номеру
Если не хотите, чтобы вас находили по номеру все подряд, ограничьте эту возможность. Профиль → Безопасность → Поиск по номеру телефона → выбираете "Контакты". Теперь по номеру вас найдут в основном те, кто уже есть у вас в телефонной книге.
Безопасный режим
Есть такая штука как Безопасный режим в настройках приватности. Он включает набор усиленных ограничений: профиль сложнее найти, меньше входящих от незнакомых, могут ограничиваться звонки и приглашения в чаты. Включается там же, в разделе Безопасность. Одна тонкость: после включения этого режима ручная смена некоторых параметров может его отключить, так что выбирайте либо единый "щит", либо ручной контроль.
Проверяем активные сессии
Идете в Профиль → Безопасность → Сессии и смотрите список устройств. Если видите что-то подозрительное или просто старые входы, которые уже не нужны, завершайте их. Я взял себе за привычку проверять сессии раз в месяц. Скучновато, но эффективно.
Разрешения на телефоне
Принцип тут простой: выдавайте приложению только то, чем реально пользуетесь. Контакты нужны для поиска людей, но не критичны. Камера и микрофон понадобятся для звонков и голосовых. Доступ к файлам и медиа нужен для отправки фото и документов. Остальное можно смело отключить.
Если пришел код, а вы его не запрашивали
Это самая частая схема угона: вас уговаривают "назвать код из SMS". Запомните: НИКОМУ не сообщайте код. Даже если звонят якобы из поддержки. Поддержка никогда не просит коды из SMS. Если код пришел без вашего запроса: ничего не вводите, никому не диктуйте, включите двухфакторную защиту (если еще не включена) и проверьте активные сессии.
Как защититься от взлома
Расскажу про три типовых сценария, с которыми сталкивается большинство.
Фишинг под видом поддержки
Вам пишут: "подтвердите аккаунт", "проверка безопасности", "нужен код для восстановления доступа". Правило простое: настоящая поддержка не просит коды из SMS и пароли. Никогда. Если кто-то просит, это мошенники.
Угон номера телефона
Поскольку мессенджер привязан к номеру, защитите сам номер. Поставьте PIN-код на SIM-карту, уточните у оператора связи, можно ли запретить удаленную замену SIM без личного визита в салон или без специального кодового слова. Это звучит параноидально, но SIM-swapping (подмена SIM-карты) реально существует и используется для угона аккаунтов.
Потеря телефона
Если потеряли устройство: сначала заблокируйте его через сервисы Apple или Google (если настроено), потом завершите все активные сессии в MAX через веб-версию или другое устройство. При необходимости можно инициировать удаление профиля.
Контроль сессий и устройств
Выйти из профиля просто: открываете Профиль, нажимаете на меню в правом верхнем углу и выбираете "Выйти из профиля". Но гораздо важнее регулярно проверять раздел "Сессии" и закрывать все старое. Я уже говорил: делаю это раз в месяц. Занимает минуту, но это реально работающая защита от "тихого" взлома, когда кто-то зашел в ваш аккаунт, но не палится активностью.
Удаление аккаунта
Если решили уйти из MAX, процесс довольно прямолинейный. Открываете Профиль, жмете на меню в правом верхнем углу, выбираете "Удалить профиль" и подтверждаете действие. Вся история сообщений и участие в чатах удалятся.
Важный момент: восстановить удаленный профиль нельзя. После подачи заявки сервис может дать период ожидания (обычно около месяца), в течение которого заявку можно отменить, если передумали. В карточке приложения указана возможность "запросить удаление данных", так что если удаляете аккаунт, загляните в раздел поддержки и уточните, есть ли дополнительные шаги конкретно для вашего случая.
Частые вопросы
Есть ли в MAX сквозное шифрование?
В публичных документах чаще говорится про шифрование при передаче данных. Сквозное шифрование (end-to-end) обычно отдельно и явно заявляется, плюс подтверждается независимыми аудитами. Если для вас это критично, ориентируйтесь на официальные формулировки сервиса.
Зачем нужен пароль для входа, если есть код из SMS?
Код из SMS можно перехватить или выманить обманом. Пароль для входа добавляет второй барьер: даже если злоумышленник получил SMS, без пароля он не войдет. Это существенно усложняет угон аккаунта.
Как сделать, чтобы меня не находили по номеру?
Откройте Профиль → Безопасность → Поиск по номеру телефона и выберите "Контакты". Теперь вас смогут найти по номеру в основном те, кто есть у вас в телефонной книге взаимно.
Можно ли полностью скрыть статус "в сети"?
Да. Профиль → Безопасность → настройка видимости статуса "в сети" → выбираете "Никто". После этого никто не увидит, когда вы онлайн.
Как понять, что аккаунт взломали?
Признаки: пришел код по SMS, хотя вы ничего не запрашивали; появились неизвестные активные сессии; от вашего имени отправляются странные сообщения. Первое действие: закрыть все лишние сессии и немедленно включить двухфакторную защиту.
