На написание данного поста натолкнуло отсутствие подобного материала где-либо в сети. Надеюсь, этот длиннопост будет полезен тем, кто установил себе данный мессенджер и хочет защитить себя в нем.
Основано на том, что я делал сам себе и своим знакомым.
И в конце про госуслуги и взаимодействие мессенджера с ними .
1. Установите пароль (потребуется эл.почта) для новых входов.
Инструкция: https://help.max.ru/help/security/kak-ustanovit-parol-dlya-v...
Нынешние рекомендации советуют пароли от 20 символов, но, если вы не пользуетесь менеджером паролей, или менеджер не всегда под рукой* - придумайте сами свой пароль, но не меньше 12 символов.
*для обывателя в РФ проще всего использовать решение в яндекс-браузере с использованием аккаунта в яндексе https://browser.yandex.ru/help/ru/security/passwords-manager...
Зачем нужно:
Сделать вход в мессенджер мультифакторным, чтобы осложнить появление новых сессий в случае перехвата злоумышленниками СМС.
2. Ограничьте настройки приватности.
Инструкция: https://help.max.ru/help/security/kak-nastroit-semejnuyu-zas... (там перечислены все настройки)
Я стабильно выключил все, кроме контента для одного из номеров. И в принципе для многих этого достаточно.
Еще я не люблю, когда доступно время моего появления в сети, ограничиваю его контактами. Ну а отключить новые чаты "теперь в MAX" можно в настройках уведомлений внутри приложения (прочие уведомления).
Зачем нужно:
Для защиты от спама и подобных схем Это не мошенничество в лоб: что произошло с моей мамой в Telegram-чате
Конечно эта мера не защитит от атаки через "взломанного" человека из списка контактов, но вероятность попасть в описанную в другом посте схему с "рабочим чатом" снижает.
И вот этого списка вполне достаточно, чтобы не стать жертвой "взлома". В настроенном виде вкладка безопасности выглядит как-то так.
Но есть еще несколько интересных штук, которые тоже можно настроить и много текста ниже.
3. Дополнительно настройте семейную защиту.
Для родственников я настроил, что позволяет мне быть администратором настроек приватности (сами члены семейной защиты поменять не могут настройки).
4. На случай нескольких учетных записей. Рабочий профиль и веб-версия.
Так как MAX пока не поддерживает несколько профилей, то на мобильном устройстве приходится выкручиваться рабочим профилем и подобной изоляцией (Для Apple подобных решений не видел). https://habr.com/ru/articles/985950/ - тут хорошо описали какой есть выбор из подобных решений.
Сам пользуюсь Shelter и для комфортной работы прокинул в рабочий профиль приложения камеры, галереи и браузер. Также отдельно в настройках телефона для рабочего профиля добавил код блокировки и отпечатки (некоторые приложения в рабочем профиле требуют подтверждения и не видят отпечатка, созданного для основного профиля).
Для тех кто переживает за свои туннели - рекомендую вообще не гнать трафик от приложений РФ куда-то еще.
С веб-версией все и скучнее, и интереснее.
Можно создать в самом браузере новый профиль. Или использовать другой браузер: тот же MS Edge например и потом просто вынести ярлык веб-приложения на рабочий стол (в разных браузерах по-разному, обычно три точки/меню-бургер -> другие инструменты -> установить как приложение). Таким образом, MAX изолирован браузером от остальной системы. На этом скучное заканчивается.
"Веселое" же - это расширения в браузере, которые могут своровать многое, но в частности - ссылки на медиафайлы https://habr.com/ru/news/1007576/.
К сожалению, пока эту несуразность не исправили, и нет гарантий, что собеседник не сидит под таким браузером с сомнительными расширениями, но дабы не рисковать самим - используйте для мессенджера "чистый" браузер.
Если приходится часто заходить в веб-версию по работе - не забывайте из нее выходить. Профиль->выйти из профиля
Или https://help.max.ru/help/security/kak-proverit-na-kakih-ustr... завершайте остальные сессии.
5. Госуслуги.
Я выделяю 3 формы взаимодействия с ними: нулевой, вход через коды подтверждения в MAX, цифровой ID.
5.1 Нулевой, при нем максимум взаимодействия - придет статус заявления в официальный бот. Просто потому, что номер в MAX и в госуслугах совпадают (я не юрист, но пара пунктов 156 ФЗ http://kremlin.ru/acts/bank/52029 имхо намекают, что так можно)
Выглядит это так и доступно на любом устройстве.
Выключить можно в самих госуслугах:
Пример настроек уведомления и как выглядит само уведомление
Рекомендую настроить уведомления по желанию, но очищать чаты с ботом периодически, так как чат с ботом госуслуг можно прочитать на любом устройстве, где выполнен вход в УЗ.
5.2 Установлен вход на госуслуги через коды подтверждения в MAX.
При этом сами коды приходят только на одно из устройств - доверенное, притом исключительно мобильное через бот.
Рекомендация: уходите со второго фактора SMS в госуслугах, подключайте по желанию, а в случае с Apple - не подключайте пока не станет доступна смена доверенного устройства.
О постепенном отказе от входа на госуслуги по SMS на сайте Минцифры:
https://digital.gov.ru/official-position/vhod-v-prilozhenie-...
И пример настройки на основе яндекс-ключ. Инструкция для входа в Госуслуги без МАХ
О том, почему второй фактор в виде SMS зло можно почитать тут https://habr.com/ru/articles/978948/
Хотя теперь для входа на госуслуги требуется создавать пароль, и случай, описанный в посте Не подключайте вход в Госуслуги через MAX становится маловероятным, но пока смена доверенного устройства для Apple недоступна, подключать вход с MAX на Apple не рекомендую.
Обратите внимание: возможность сменить доверенное устройство доступна только на Android, на iOS появится позже.
https://help.max.ru/help/gosuslugi/kak-smenit-doverennoe-ust..., обр. 18.03.2026
Попытки посмотреть код с других устройств, где был выполнен вход с паролем.
5.3 Создан Цифровой ID.
Который является мини-приложением, защищенным отдельно, в том числе средствами защиты телефона (пин-код, отпечатки и др. https://go.max.ru/digitalId я создал себе без фото этот айди).
А вот после после создания ID у вас появится в госуслугах
согласие на обработку персональных данных оператором из реестра https://pd.rkn.gov.ru/operators-registry/operators-list/?id=... и в разделе безопасность в MAX появится мини-приложение цифровой ID.
Летом 2025 года ФСБ всего лишь выдвинула список требований для подключения к ЕСИА
https://www.anti-malware.ru/news/2025-08-07-121598/46915 которые, очевидно, были выполнены, благодаря чему мы видим такую интеграцию с госуслугами сейчас.
Да и актуальная тогда новость прошла незамеченной https://habr.com/ru/news/934692/.
Но возвращаясь к Цифровому ID. Смена в методах блокировки устройства (добавление отпечатка пальца например) обнуляет старый ID и требует повторного входа в госуслуги для создания.
А еще его можно отдельно удалить https://appleinsider.ru/tips-tricks/kak-udalit-czifrovoj-id-...
Кроме того, ID привязан к устройству, при попытке открыть с другого телефона - выдал сообщение о том, что уже создан ID на другом устройстве (и когда продолжил - старый обнулило, а сообщение заскринить приложение не дало).
Подводя итог по связи с госуслугами:
Можно вообще никак не взаимодействовать с ними через MAX. А вот само взаимодействие с ними возможно самая технически защищенная часть мессенджера, иначе не было бы такой интеграции.
Тем более это взаимодействие можно вообще отключить совсем, отключив уведомления в госуслугах (и не пользуясь входом через MAX и Цифровым ID).
6. Мини-приложения и боты.
Вот тут и кроется интересное. Такие модули существуют не совсем внутри MAX, согласно пользовательскому соглашению https://legal.max.ru/ps:
https://legal.max.ru/ps дата обр. 18.03.2026
1.7 Приложение (-я) – программное обеспечение, в том числе веб-приложения, чат-боты, игры, онлайн-сервисы, а также встроенные инструменты и др., размещаемые (предоставляемые) разработчиками (Разработчиками) на основании соответствующего соглашения с Компанией. Указанные Приложения содержат собственный обособленный функционал, не связанный с функциональностью Сервиса, который используется Пользователем добровольно по своему усмотрению и дополнительно к функциональным возможностям Сервиса на основании отдельных правил использования соответствующего Приложения, предлагаемых Разработчиком.
8.5.2.Пользователь уведомлен и соглашается, что Компания вправе с согласия Пользователя, предоставляемого им в форме конклюдентного действия при первом запуске и/или использовании Приложения (в частности, при нажатии соответствующей кнопки в случае ее наличия), передать Разработчику соответствующие данные, необходимые для использования Приложения, из числа следующих: имя, фамилия, короткое имя, идентификатор Пользователя в Сервисе, фотография (-и) профиля Пользователя (аватар), описание в профиле. В случае необходимости для использования Приложения номера мобильного телефона или иных данных Пользователя Компания вправе при условии получения отдельного согласия от Пользователя, предоставляемого им в форме совершения активных действий в интерфейсе, в частности, в форме нажатия на кнопку «Разрешить» или иную аналогичную кнопку о разрешении, передать Разработчику номер мобильного телефона Пользователя или иные данные.
Так что стоит подумать, прежде чем пользоваться неофициальными ботами и приложениями.
Многие могут увидеть в каналах MAX различные неофициальные боты-приложения для комментирования и там как раз бывают дыры. https://habr.com/ru/articles/1005618/ - Cтатья о такой дыре как раз в комментариях от Zewix.
Спасает пока только то, что боты и приложения пока недоступны для создания всем.
Рекомендация: пользоваться официальными ботами и приложениями и пока не прикручены комментарии в каналах официально - не пользоваться ими.
Итоги.
Ставьте пароль на мессенджер, настраивайте приватность, интегрируйтесь с госуслугами по желанию и воздержитесь от неофициальных ботов и приложений.
Ставьте хоть на отдельный телефон, хоть в виртуалку, хоть не ставьте вообще. Написано для тех, кто от MAXа не смог убежать и не хочет подставляться.
С MAX я столкнулся в декабре и разбирался в меру своего понимания сам.
Считаю, что будущее мессенджера зависит от разработчиков и пользователей и победит в итоге массовый и удобный мессенджер.
А кто хочет не на словах доказать техническое несовершенство защиты мессенждера может попробовать это сделать с июля 2025 года на разных платформах https://habr.com/ru/news/923886/ и заработать на этом.
А мне как обычному пользователю остается только верить Пользовательскому соглашению https://legal.max.ru/ps и Политике конфиденциальности https://legal.max.ru/pp:
5.1 Компания принимает технические и организационно-правовые меры в целях обеспечения защиты Информации Пользователя от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
5.2 Технические меры безопасности, в том числе при взаимодействии с ГИС, реализованы Компанией с учетом требований применимого законодательства, современного уровня техники, характера обрабатываемой информации и рисков, связанных с ее обработкой.
Информация обрабатывается автоматически без доступа к ней сотрудников и/или подрядчиков Компании. В случае если такой доступ предоставляется сотрудникам или подрядчикам Компании, то только в объеме, необходимом для выполнения такими лицами своих служебных обязанностей или обязанностей по договору с Компанией, при этом на таких лиц возлагается обязанность по соблюдению требований безопасности и конфиденциальности при осуществлении доступа к Информации. Для защиты и обеспечения конфиденциальности данных все сотрудники/подрядчики соблюдают внутренние правила и процедуры в отношении обработки информации. Указанные лица также соблюдают все технические и организационные меры безопасности, предусмотренные применимым законодательством и необходимые для защиты Информации о Пользователях.
впрочем, как и с любым другим сервисом, которому отдаю свои данные.
