Анонимные хакеры сообщили, что им удалось получить базу даных мессенджера Мах и подтвердить доступ к аккаунтам высокопоставленных чиновников. Об этом сообщает телеграм-канал «Синяя борода» со ссылкой на заявление хакеров.
«В прошлом году — 26 марта 2025 года — Max Messenger вышел на рынок под громкие обещания «непревзойдённой безопасности» и «новой эры приватности». Они называли себя «убийцей Telegram». Сегодня эта эра заканчивается, так и не успев толком начаться.
Нам понадобилось ровно 12 месяцев, чтобы разобрать по винтикам те защитные слои, которые они строили годами. По состоянию на сегодняшнее утро мы успешно извлекли всю продакшен-базу данных. «Невзламываемое» оказалось взломано.
Параметры утечки (общий объём: 142 ГБ в сжатом виде):
Профили пользователей: 15,4 млн записей, содержащих полные имена, юзернеймы и подтверждённые номера телефонов.
— Токены и ключи авторизации: действующие токены сессий, позволяющие перехватывать аккаунты с обходом 2FA, а также bcrypt-хэши паролей.
— Архив метаданных: полные журналы коммуникаций (временные метки, ID отправителя/получателя) с дня запуска в марте 2025 года.
— Доступ к инфраструктуре: внутренние SSH-ключи, API-документация и конфигурации AWS S3-бакетов с незашифрованными медиа-файлами.
— Исходный код бэкенда: «проприетарный» модуль шифрования, включая несколько жёстко прописанных бэкдоров, которые мы обнаружили.
Технический обзор: взлом был выполнен через критическую уязвимость 0-day RCE (удалённое выполнение кода) в движке обработки медиа. Внедрив некорректно сформированный payload в файл метаданных стикерпаков, мы получили постоянный доступ. Мы установили, что эта уязвимость существовала ещё со времён беты в начале 2025 года и так и не была исправлена.
Ультиматум: разработчики уведомлены, но в ответ — гробовая тишина. Мы уже подтвердили доступ к аккаунтам нескольких высокопоставленных политиков и корпоративных руководителей, которые пришли на платформу на волне прошлогоднего «хайпа о безопасности».
Если в течение 24 часов не будет согласовано вознаграждение в рамках «bug bounty», первые 5 ГБ сырых SQL-данных будут зеркалированы на 10+ публичных торрент-трекерах.
С годовщиной, Max Messenger. Приватность — это миф», - говорится в сообщении хакеров.
Отметим, что никаких официальных комментариев по данному поводу ещё нет.