Фото в Max не исчезают: прямые ссылки хранят всё 📸

Вы удалили снимок из чата. Собеседник тоже нажал «удалить». Казалось бы, следов нет. Но сервер помнит. И прямая ссылка — тоже.

6 марта 2026 года пользователи «Пикабу» подняли тревогу: изображения из личных переписок в национальном мессенджере Max остаются доступными по прямой ссылке даже после удаления из диалога. Журналисты проверили — фото действительно открываются без авторизации, если у вас есть URL. Пресс-служба Max назвала это «набросом» и «фейком», но технические детали говорят об ином. Разбираемся, что происходит на самом деле, почему удаление не стирает файлы и как защитить свои данные в условиях, когда мессенджер становится обязательным инструментом коммуникации в России.

1. 🔍 Как обнаружили уязвимость: от «Пикабу» до федеральных СМИ
2. 🧩 Механика проблемы: почему ссылка живёт дольше чата
3. 🛡️ Официальная позиция Max: что говорят разработчики
4. 🧪 Технический разбор: как проверить самостоятельно
5. 📊 Контекст: Max и вопросы безопасности
6. 🔐 Что это значит для пользователей: риски и последствия
7. 🧭 Как защититься: практические рекомендации
8. 💡 Удаление — это иллюзия контроля
9. 📌 Финал: ваша приватность — ваша ответственность
10. ❓ FAQ: вопросы и ответы

🔍 Как обнаружили уязвимость: от «Пикабу» до федеральных СМИ

История началась с поста на «Пикабу», где внимательный пользователь заметил странность в веб-версии Max. При загрузке изображения в чат или папку «Избранное» мессенджер генерирует статичную гиперссылку, которую можно извлечь из кода страницы. Эта ссылка открывается с любого браузера и устройства — без входа в аккаунт, без авторизации, без каких-либо проверок.

Дальше — хуже. Пользователь удалил фото из переписки, но ссылка продолжила работать. Файл остался на сервере. Доступ сохранился. Удаление в интерфейсе приложения не равно удалению с серверов Max.

Информацию быстро подхватили технологические издания. AppleInsider.ru провёл собственную проверку и подтвердил: механизм работает именно так, как описали на «Пикабу». Hi-Tech Mail.ru опубликовал материал с мнением экспертов, которые разобрали техническую сторону проблемы. Meduza изучила структуру ссылок и пришла к выводу: доступ без авторизации действительно существует, хотя простой перебор адресов затруднён длиной уникальной подстроки.

Реакция не заставила себя ждать. Пресс-служба Max в комментарии ТАСС заявила: «Личные фото недоступны никому, кроме владельца. Ссылку нельзя подобрать или сгенерировать». Представители мессенджера назвали сообщения «фейком» и сослались на мнение «ИБ-экспертов», которые якобы опровергли проблему.

Но факты упрямы. Ссылка работает. Файл доступен. Удаление не помогает.

🧩 Механика проблемы: почему ссылка живёт дольше чата

Чтобы понять суть, нужно разобраться в архитектуре хранения файлов. Max использует отдельный домен для медиафайлов — i.oneme.ru. Когда вы отправляете изображение, сервер генерирует прямую ссылку вида https://i.oneme.ru/[уникальный_код] и сохраняет файл в открытом виде.

Ключевые особенности механизма:

Параметр	Реализация в Max
Авторизация при доступе по ссылке	Не требуется
Шифрование файлов на сервере	Отсутствует
Срок жизни ссылки после удаления	Не ограничен
Защита от перебора	Частичная (длинный код)

Ссылка содержит уникальную подстроку длиной не менее 21 символа. Это затрудняет случайный подбор, но не отменяет главного: если ссылка попала к третьему лицу, она работает вечно. Даже после удаления фото из чата у обоих участников.

Почему так происходит? Вероятная причина — архитектурное решение, унаследованное от практик веб-разработки 2010-х годов. Подобные ссылки с уникальными кодами широко используются для временного хранения крупных файлов на отдельных серверах. Проблема в том, что «временное» в случае Max превратилось в «постоянное». Файлы не удаляются с сервера при удалении из переписки.

Сравнение показательно: в 2010-х годах аналогичная уязвимость существовала во ВКонтакте, когда через URL можно было получить доступ к закрытым альбомам. История повторяется.

🛡️ Официальная позиция Max: что говорят разработчики

Пресс-служба мессенджера заняла жёсткую позицию. В официальном заявлении представители Max подчеркнули: «Все данные пользователей мессенджера, что касается и фото, надежно защищены». Компания настаивает, что доступ к изображениям возможен только при добровольной передаче ссылки самим пользователем.

Аргументация разработчиков сводится к трём тезисам:

1. Ссылку нельзя подобрать. Уникальная подстрока делает перебор практически невозможным.
2. Доступ без авторизации не означает публичный доступ. Файл виден только тем, у кого есть конкретная ссылка.
3. Проблема преувеличена. Сообщения об уязвимости названы «набросом» с целью дискредитации сервиса.

Однако техническое сообщество указывает на пробелы в этой логике. Во-первых, ссылка может утечь множеством способов: через историю браузера, логи прокси-серверов, скриншоты, пересылку в другие чаты. Во-вторых, веб-версия Max позволяет извлечь ссылку за несколько кликов через инструменты разработчика. В-третьих, отсутствие механизма инвалидации ссылок после удаления файла — это архитектурный просчёт, а не особенность реализации.

После волны публикаций Max выпустил дополнительное разъяснение, где признал: ссылки действительно остаются доступными после удаления изображения из сообщения. Компания пообещала доработать механизм, но конкретных сроков не назвала.

🧪 Технический разбор: как проверить самостоятельно

Хотите убедиться лично? Процедура занимает две минуты и не требует специальных навыков. Вам понадобится компьютер с браузером и доступ к веб-версии Max.

Пошаговая инструкция:

1. Откройте веб-версию Max и войдите в аккаунт.
2. Найдите любое фото в переписке или отправьте изображение в «Избранное».
3. Нажмите Ctrl+Shift+C — откроются инструменты разработчика.
4. Кликните на изображение в чате — в коде страницы выделится тег с адресом файла.
5. Скопируйте адрес — он начинается на https://i.oneme.ru/.
6. Откройте новую вкладку в режиме инкогнито и вставьте адрес.

Результат предсказуем: фото откроется без входа в аккаунт. Теперь удалите изображение из переписки и снова перейдите по ссылке. Она продолжит работать.

Что это демонстрирует? Сервер Max не проверяет права доступа при запросе файла по прямой ссылке. Не проверяет, авторизован ли пользователь. Не проверяет, существует ли ещё сообщение с этим файлом. Просто отдаёт контент.

Для технически подкованных пользователей есть дополнительный риск. Структура ссылок содержит повторяющиеся паттерны, что теоретически позволяет написать скрипт для анализа соседних адресов. Защита от перебора существует, но её эффективность зависит от энтропии уникальной подстроки — параметра, который пользователи не контролируют.

📊 Контекст: Max и вопросы безопасности

Уязвимость с фотографиями — не первый случай, когда безопасность Max попадает в фокус внимания. Мессенджер, позиционируемый как национальная альтернатива зарубежным сервисам, регулярно сталкивается с критикой от ИБ-сообщества.

Хронология инцидентов:

• Январь 2026. Хакер на DarkForums заявил о полном взломе Max через уязвимость в механизме обработки стикеров. Утверждалось, что доступ получен через remote code execution в медиа-движке.
• Март 2026. Обнаружено, что приложение проверяет наличие активного ***-соединения на устройстве. Пользователи выразили обеспокоенность скрытым мониторингом.
• Март 2026. Выявлена уязвимость с прямыми ссылками на фото. Файлы доступны без авторизации и не удаляются с сервера.

Эксперты отмечают системную проблему: Max разрабатывался в сжатые сроки с акцентом на функциональность, а не на безопасность. Архитектура мессенджера строится на серверной модели без сквозного шифрования по умолчанию. Это означает, что переписка проходит через серверы в расшифрованном виде, а контроль доступа полностью зависит от реализации на стороне платформы.

Для сравнения: Telegram предлагает секретные чаты с end-to-end шифрованием, где ключи хранятся только на устройствах участников. В Max подобный режим отсутствует. Все данные обрабатываются и хранятся на серверах мессенджера.

При этом Max активно внедряется в государственные и образовательные учреждения. Власти переводят школьные, студенческие и домовые чаты в мессенджер, делая его де-факто обязательным для миллионов россиян. Банки рассматривают возможность использования Max для подтверждения транзакций. Такая интеграция повышает ставки: уязвимости в мессенджере затрагивают не только личную переписку, но и чувствительные данные организаций.

🔐 Что это значит для пользователей: риски и последствия

Уязвимость создаёт несколько категорий рисков, которые стоит осознавать каждому пользователю Max.

Персональные данные под угрозой. Любое изображение, отправленное через мессенджер, потенциально доступно по прямой ссылке. Если ссылка утекла — файл могут увидеть посторонние. Особенно критично для документов, скриншотов с персональной информацией, интимных фото.

Удаление не гарантирует исчезновение. Нажатие кнопки «удалить» убирает файл из интерфейса чата, но не с сервера. Ссылка продолжает работать. Файл остаётся доступным. Это создаёт ложное ощущение контроля над данными.

Корпоративные риски. Организации, использующие Max для рабочей коммуникации, могут непреднамеренно раскрыть внутренние документы. Ссылка на файл, пересланная сотрудником, может попасть за пределы компании и остаться активной навсегда.

Долгосрочное хранение. Нет гарантий, что файлы удаляются с серверов Max вообще. Политика хранения данных мессенджера не раскрывает сроки удаления медиафайлов после удаления из чата. Изображения могут храниться годами.

Индексация поисковиками. Meduza отмечает: попасть в индекс поисковых систем такие адреса могут только при публикации их в интернете самим пользователем. Но если ссылка где-то засветилась — поисковик может её проиндексировать.

Реальность такова: в Max удаление — это иллюзия контроля. Вы убираете файл из виду, но не из существования.

🧭 Как защититься: практические рекомендации

Полностью устранить риски на стороне пользователя невозможно — архитектуру мессенджера вы не измените. Но снизить вероятность утечки реально. Следуйте этим правилам.

Не отправляйте чувствительные файлы через Max. Документы, сканы паспортов, медицинские справки, интимные фото — всё это лучше передавать через сервисы с полноценным шифрованием и контролем доступа. Используйте Telegram с секретным чатом или специализированные защищённые каналы.

Настройте приватность аккаунта. Max предлагает ряд опций, которые стоит активировать:

• Включите облачный пароль (2FA) в настройках конфиденциальности.
• Установите код-пароль на приложение и настройте автоблокировку.
• Скройте номер телефона от посторонних.
• Ограничьте добавление в группы только контактами.

Контролируйте активные сеансы. Регулярно проверяйте раздел «Устройства» в настройках и завершайте сеансы на неиспользуемых устройствах. Веб-версия Max — основной вектор извлечения ссылок, поэтому не оставляйте сессии открытыми на общих компьютерах.

Используйте «Семейную защиту». Для пожилых родственников и детей включите функцию запрета пересылки медиа от незнакомых контактов. Это снизит риск попадания вредоносных файлов и фишинговых ссылок в чаты близких.

Привяжите почту для восстановления. В 2026 году без привязанной электронной почты восстановить аккаунт при утере пароля практически невозможно из-за протоколов шифрования. Не игнорируйте этот шаг.

Помните о социальной инженерии. Главная уязвимость — не код программы, а человек. Мошенники активно используют фишинг, поддельные сообщения от «администрации» и другие методы. Никогда не передавайте пароли и коды подтверждения третьим лицам.

💡 Удаление — это иллюзия контроля

Мы привыкли думать: нажал «удалить» — и файл исчез. В цифровом мире эта интуиция обманчива. Удаление в интерфейсе приложения часто означает лишь удаление ссылки на файл из базы данных чата. Сам файл может оставаться на сервере бесконечно долго.

Max — не единственный сервис с такой архитектурой. Многие платформы используют отложенное удаление, кэширование и CDN, которые сохраняют копии файлов. Но в случае Max проблема усугубляется отсутствием проверки доступа по прямой ссылке. Файл не просто хранится — он доступен.

Что это меняет для пользователя? Всё. Вы больше не контролируете свои данные после отправки. Ссылка живёт своей жизнью. Она может попасть в историю браузера, в логи, в скриншот, в пересылку. И каждый, у кого есть ссылка, получает доступ. Навсегда.

Осознание этого факта — первый шаг к цифровой гигиене. Второй шаг — изменение поведения. Не отправляйте то, что не готовы увидеть в открытом доступе. Не полагайтесь на кнопку «удалить». Выбирайте инструменты, которые дают реальный контроль.

📌 Финал: ваша приватность — ваша ответственность

Национальный мессенджер Max стал частью цифровой инфраструктуры России. Его используют школы, вузы, госучреждения, бизнес. Интеграция с государственными сервисами и платёжными системами делает его удобным. Но удобство не отменяет ответственности за свои данные.

Уязвимость с прямыми ссылками — симптом более глубокой проблемы. Архитектура без сквозного шифрования, серверное хранение в открытом виде, отсутствие механизма инвалидации ссылок после удаления — всё это создаёт риски, которые пользователь не может устранить настройками.

Что делать? Требуйте от разработчиков прозрачности и исправлений. Настройте доступные опции приватности. И главное — думайте перед отправкой. В цифровую эпоху приватность начинается с осознанного выбора: что, кому и через какой канал вы передаёте.

Ваша приватность — ваша ответственность. Ни один мессенджер не защитит вас от необдуманных действий. Но правильный выбор инструментов и привычек снижает риски до приемлемого уровня. Действуйте.

❓ FAQ: вопросы и ответы

Вопрос: Действительно ли фото в Max доступны по прямой ссылке без авторизации?

Да. Журналисты и пользователи подтвердили: изображения, загруженные в Max, получают прямые URL-адреса, которые открываются без входа в аккаунт. Ссылку можно извлечь из кода страницы в веб-версии мессенджера.

Вопрос: Остаётся ли ссылка активной после удаления фото из чата?

Остаётся. Удаление изображения из переписки не удаляет файл с сервера и не инвалидирует ссылку. Прямая ссылка продолжает работать даже после удаления у обоих участников диалога.

Вопрос: Можно ли подобрать ссылку на чужое фото перебором адресов?

Простой перебор затруднён. Ссылки содержат уникальную подстроку длиной не менее 21 символа, что делает случайный подбор практически невозможным. Однако если ссылка попала к третьему лицу иным путём, она работает без ограничений.

Вопрос: Что говорит пресс-служба Max об этой уязвимости?

Пресс-служба назвала сообщения «фейком» и «набросом», заявив, что личные фото недоступны никому кроме владельца. Компания утверждает, что ссылку нельзя подобрать или сгенерировать, а доступ возможен только при добровольной передаче ссылки пользователем. Позднее Max признал, что ссылки остаются доступными после удаления.

Вопрос: Как извлечь прямую ссылку на фото в Max?

В веб-версии мессенджера откройте инструменты разработчика (Ctrl+Shift+C), кликните на изображение в чате и скопируйте адрес из выделенного тега. Ссылка начинается с https://i.oneme.ru/ и открывается без авторизации.

Вопрос: Шифруются ли файлы на серверах Max?

Изображения хранятся на серверах в незашифрованном виде. Max использует серверную архитектуру без сквозного шифрования по умолчанию, что означает обработку данных в расшифрованном виде на стороне платформы.

Вопрос: Как защититься от рисков утечки фото через Max?

Не отправляйте через Max документы и изображения, которые не должны попасть к посторонним. Настройте облачный пароль, код-пароль приложения и параметры приватности. Регулярно проверяйте активные сеансы и завершайте неиспользуемые. Для чувствительных данных используйте мессенджеры с end-to-end шифрованием.

Вопрос: Почему удаление в Max не удаляет файл с сервера?

Вероятная причина — архитектурное решение, при котором удаление сообщения убирает только ссылку на файл из базы данных чата, но не сам файл с сервера хранения. Механизм автоматического удаления файлов после удаления из переписки не реализован.

Вопрос: Могут ли фото из Max попасть в поисковые системы?

Попасть в индекс поисковиков такие адреса могут только при публикации их в интернете самим пользователем. Напрямую с серверов мессенджера индексация невозможна, но если ссылка засветилась на публичном ресурсе, поисковик может её проиндексировать.

Вопрос: Есть ли у Max другие известные проблемы с безопасностью?

Да. В январе 2026 года хакер заявил о взломе Max через уязвимость в медиа-движке. В марте обнаружено, что приложение проверяет наличие ***-соединения на устройстве. Эксперты критикуют отсутствие сквозного шифрования и серверную архитектуру хранения данных.

Статья основана на открытых источниках и технической проверке. Информация актуальна на 2 апреля 2026 года. Следите за обновлениями от разработчиков Max и своевременно применяйте рекомендации по цифровой безопасности. 🛡️