MAX собирает больше, чем номер телефона и имя. В официальной политике конфиденциальности MAX указаны данные профиля, техническая информация об устройстве, IP-адрес, операционная система, тип браузера, местоположение, интернет-провайдер, данные из адресной книги при разрешенном доступе, клики и переходы в интерфейсе, cookies, а также сведения из ЕСИА и государственных информационных систем, если пользователь подключает цифровые сервисы.
Отдельный слой риска появился после технических разборов. В них говорится не только о формально заявленных категориях данных, но и о поведении приложения. Часть утверждений основана на реверс-инжиниринге APK и анализе сетевого трафика, поэтому такие выводы нужно отделять от подтвержденных фактов из политики сервиса.
Какие данные MAX указывает в политике конфиденциальности
Для регистрации MAX обрабатывает имя и номер мобильного телефона, а аккаунту присваивает внутренний ID. Пользователь может добавить фамилию, никнейм, описание профиля и аватар. Когда пользователь восстанавливает доступ или подтверждает аккаунт, компания может запросить дополнительные сведения, которые помогают подтвердить принадлежность аккаунта.
Технический набор шире. MAX указывает IP-адрес хоста, вид операционной системы, тип браузера, местоположение, поставщика интернет-услуг, данные о технологическом взаимодействии с сервисом, клики и переходы внутри интерфейса. Если пользователь разрешил доступ к адресной книге, сервис получает соответствующие данные контактов. В веб-версии применяются cookies, включая необходимые, аналитические, технические и функциональные файлы. Информация, собранная через cookies, может быть доступна владельцам сервисов веб-аналитики.
MAX отличается от обычного мессенджера связкой с государственными системами. В пользовательском соглашении сервис описан как цифровая платформа для обмена сообщениями и функций многофункционального сервиса при взаимодействии с ГИС. Когда пользователь подтверждает аккаунт через ЕСИА, MAX может получить с его согласия ФИО, дату рождения и сведения из документа, удостоверяющего личность. Когда пользователь создаёт цифровой ID, сервис может получить статус совершеннолетия, студента или члена многодетной семьи, номер телефона и другие сведения, показанные в интерфейсе соответствующей ГИС.
Политика MAX говорит, что персональные данные граждан России хранятся и обрабатываются на территории РФ, а трансграничная передача персональных данных не проводится. Данные допускается передавать третьим лицам в описанных случаях: организациям по инициативе пользователя, разработчикам приложений внутри MAX, операторам связи, партнерам, аналитическим сервисам, исполнительным и судебным органам по законному требованию. Для мини-приложений отдельно указано, что разработчик может получить имя, фамилию, никнейм, ID пользователя, аватар и описание профиля, а номер телефона передается только при отдельном согласии.
Что добавили технические разборы
Исследователи заметили, что клиент MAX обращается к нескольким сервисам определения внешнего IP-адреса, включая api.ipify.org, checkip.amazonaws.com и ifconfig.me. Авторы обсуждения не называли сам факт проверки IP незаконным: такие запросы могут помогать WebRTC и звонкам. Вопрос вызвали частота проверок, число источников и обращения к доменам, связанным с Telegram и WhatsApp. Такие проверки могут помогать отличать прямой доступ от VPN, прокси или split tunneling. Для пользователя практический вывод простой: MAX может видеть не только IP-адрес из своей обычной серверной статистики, но и активнее проверять сетевую среду.
Анализ APK выявил, что приложение проверяет VPN, собирает сведения об установленных пользовательских приложениях через MyTracker, отслеживает изменения адресной книги и передаёт хеши номеров, включая номера людей, которые не зарегистрированы в MAX. Также упоминались серверные флаги, которые теоретически могут менять поведение клиента, например показывать просьбу отключить VPN или блокировать чаты и мини-приложения до отключения VPN.
Отдельный спор возник вокруг звонков. Был описан модуль Keyword Spotting, который работает во время звонка и ищет ключевую фразу «не слышу» для оценки качества связи. В материале сказано, что текущий серверный конфиг помечал модуль как выключенный, а при срабатывании отправлялся не сам аудиопоток, а событие со степенью уверенности. Главная претензия в архитектуре: модель можно подгружать с сервера без обновления приложения, поэтому словарь теоретически можно менять. MAX в ответ заявлял, что сообщения о доступе к разговорам пользователей не соответствуют действительности, звонки зашифрованы, а ИИ-инструменты нужны для повышения качества связи и работают обезличенно.
Ещё один риск связан с доставкой сообщений. В сети описали случай, когда видеосообщения, или «кружочки», якобы пришли не тем получателям. Также были жалобы на то, что текстовое сообщение переслали не тому адресату. Поэтому нужно быть аккуратным или вовсе не отправлять интимные видео, документы, коды подтверждения, банковские данные и служебные сведения, пока существуют проблемы с доставкой сообщений.
Сравнение MAX, WhatsApp и Telegram по сбору данных
| Категория | MAX | Telegram | |
|---|---|---|---|
| Регистрация | Имя, номер телефона, внутренний ID аккаунта. Дополнительно фамилия, никнейм, описание и аватар. | Номер телефона, имя профиля, сведения об устройстве и аккаунте. | Номер телефона как основной идентификатор, имя профиля, username и данные аккаунта. |
| Устройство и сеть | IP-адрес, ОС, браузер, местоположение, провайдер, клики, переходы. По разбору SecurityLab, клиент также может обращаться к нескольким сервисам определения внешнего IP. | Модель устройства, ОС, версия приложения, IP-адрес, сеть, оператор, язык, часовой пояс и идентификаторы. | IP-адрес, устройства, приложения Telegram и другие метаданные, которые сервис использует для безопасности, антиспама и работы аккаунта. |
| Контакты | Данные адресной книги при разрешенном доступе. В техническом разборе упоминались хеши номеров и отслеживание изменений контактов. | Номера из адресной книги при загрузке контактов. | Номера, имя и фамилия контактов при включенной синхронизации. Синхронизацию можно отключить. |
| Геолокация | В политике указано местоположение. В технических разборах упоминались запросы координат, но такие выводы требуют отдельной проверки. | Точная геолокация используется при разрешении пользователя. Общая география может определяться по IP-адресу и телефонному коду. | Геолокация обрабатывается, когда пользователь сам отправляет локацию или включает Live Location. |
| Переписка и звонки | В открытых документах нет ясного публичного обещания сквозного шифрования всех личных и групповых чатов. По заявлениям MAX, звонки зашифрованы. SecurityLab описывал спорный модуль анализа качества звонков. | WhatsApp заявляет сквозное шифрование личных сообщений и звонков. Недоставленные сообщения могут храниться в зашифрованном виде ограниченное время. | Обычные облачные чаты синхронизируются через серверы Telegram. Сквозное шифрование включено в секретных чатах. |
| Госуслуги и цифровой ID | Есть сценарии получения данных из ЕСИА и ГИС с согласия пользователя, включая ФИО, дату рождения, документные сведения и социальные статусы. | Встроенной российской связки с ЕСИА и ГИС в политике WhatsApp нет. | Встроенной российской связки с ЕСИА и ГИС в политике Telegram нет. |
| Главный риск | Широкая связка мессенджера, госинтеграций, мини-приложений, сетевых проверок и спорных технических находок. | Большой объем метаданных, связь с экосистемой Meta и зависимость от политики компании. | Облачная модель обычных чатов и хранение данных для синхронизации между устройствами. |
Сравнение не даёт простого ответа, какой мессенджер «самый безопасный». WhatsApp сильнее выглядит по сквозному шифрованию личной переписки, но собирает много метаданных и связан с Meta*. Telegram удобен как облачный сервис, но обычные чаты не равны секретным чатам. MAX собирает типичный для мессенджера набор регистрационных и технических данных, но добавляет государственные интеграции, цифровой ID и мини-приложения. Технические разборы SecurityLab усиливают вопрос доверия к клиенту, особенно в части VPN, IP-адресов, контактов, установленных приложений и звонков.
MAX получает все данные с телефона?
Официальная политика не говорит о полном копировании данных телефона. MAX получает данные, нужные для регистрации и работы функций, а также сведения, к которым пользователь дал доступ. При этом технические разборы указывают на возможный сбор дополнительных сигналов, например об установленных приложениях, VPN и сетевой среде. Эти утверждения требуют независимой проверки.
MAX читает переписку и звонки?
По открытым источникам нельзя доказать, что сотрудники сервиса читают переписку. MAX заявлял, что звонки зашифрованы и ИИ-инструменты не имеют доступа к содержимому разговоров. Но в публичных документах нет такой же понятной модели сквозного шифрования для всех личных и групповых чатов, как в отдельных режимах у конкурентов.
Почему VPN стал отдельным риском?
SecurityLab описал проверки VPN и внешнего IP, а также возможные серверные флаги, которые могут менять поведение приложения. Даже если часть выводов позже уточнят, сам подход показывает, что мессенджер может учитывать сетевую среду пользователя при работе функций.
Как безопаснее пользоваться MAX?
Не давайте доступ к контактам, геолокации, камере и микрофону без понятной задачи. Не отправляйте через MAX паспорт, СНИЛС, банковские данные, коды из СМС, медицинские документы, интимные материалы и служебные секреты. Отдельно проверяйте согласия при подключении цифрового ID, Госуслуг, мини-приложений и сервисов организаций.
Практический вывод: MAX можно использовать для простых уведомлений и бытовой переписки, если жёстко настроить разрешения и не передавать чувствительные сведения. Для конфиденциальных разговоров, документов, рабочих секретов и личных материалов лучше выбирать канал связи с прозрачной моделью сквозного шифрования, минимальным сбором метаданных и понятной историей исправления уязвимостей.
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
