Cloudflare Radar в новом отчёте по домену max.ru от 30 апреля 2026 года присвоил сайту национального мессенджера MAX категорию Spyware и зафиксировал 4 нарушения безопасности, связанные с CORS-запросами к аналитическим сервисам. В самом отчёте говорится о сканировании сайта, а не о разборе кода мобильного приложения. Пресс-служба MAX заявила, что классификация возникла из-за неверной интерпретации заголовков запросов к обычной веб-аналитике, а не из-за фактического анализа приложения.
История быстро разлетелась по профильным СМИ и каналам, поскольку сочетание «национальный мессенджер» и метка Spyware выглядит максимально токсично для любого цифрового продукта. Здесь принципиально не путать автоматическую категоризацию домена с доказанным фактом шпионажа. Cloudflare Radar показал для max.ru категорию «Шпионское ПО», а также отнёс сайт к мессенджерам и фильтру CIPA. Отчёт был завершён 30 апреля 2026 года в 10:18:10.

Интересно, что метка Spyware у Cloudflare появилась без анализа самого приложения и опиралась на поведение публичной веб-страницы и её аналитики.

По данным сканирования, страница max.ru называется «MAX – быстрое и легкое приложение для общения и решения повседневных задач». Cloudflare Radar зафиксировал внушительный набор технических деталей сайта:

83 HTTP-запроса с веб-страницы;
5 доменов и 5 IP-адресов в обращениях;
41 скрипт на странице;
8 cookie-файлов в сессии браузера;
21 МБ общего объёма переданных данных.

Основной IP-адрес 155.212.204.140 расположен в России и относится к VK-AS. В качестве выявленной технологии отчёт показывает Yandex.Metrika.
В разделе безопасности Cloudflare Radar указал 1 обнаруженный риск с маркировкой Spyware и 4 нарушения безопасности. Все 4 события связаны не с найденным вредоносным файлом, а с CORS-ошибками при обращениях страницы max.ru к сторонним адресам. В отчёте фигурируют запросы к privacy-cs.mail.ru, mc.yandex.com и mc.yandex.ru, заблокированные политикой CORS из-за заголовков или отсутствия нужного Access-Control-Allow-Origin.
Эта часть отчёта особенно важна для корректной трактовки. CORS-ошибки сами по себе не доказывают воровство данных или слежку за пользователем. Они показывают блокировку браузером отдельных междоменных запросов из-за правил доступа. У такого поведения может быть несколько причин:

настройка веб-аналитики и трекеров;
отдельные заголовки запросов;
fingerprinting-механики на странице;
ошибки в интеграции сторонних сервисов;
недостаточно открытая политика CORS у партнёрских доменов.

Среди обнаруженных сертификатов в отчёте указаны max.ru, mc.yandex.ru, top-fwz1.mail.ru, privacy-cs.mail.ru и mc.yandex.com. Список говорит о взаимодействии страницы с аналитическими и сопутствующими доменами, а не одним лишь собственным адресом. Cloudflare отдельно указывает Yandex.Metrika как обнаруженную технологию аналитики для отслеживания и анализа трафика сайта.
Пресс-служба MAX объяснила ситуацию неверной интерпретацией заголовков запросов к сервисам веб-аналитики сайта max.ru. В компании заявили, что классификация Cloudflare не основана на фактическом анализе кода, а сам MAX регулярно проходит аудиты, работает с исследователями через Bug Bounty и располагает собственным центром защиты пользователей. По версии MAX, пользовательские данные защищены, а метка Cloudflare не отражает реального поведения приложения.
Объяснение выглядит технически возможным. Автоматические сканеры действительно ошибаются при категоризации, особенно при виде аналитических скриптов, fingerprinting-запросов, нестандартных заголовков или междоменных обращений. Для репутации мессенджера даже автоматическая метка Spyware остаётся проблемой. Пользователи не обязаны разбираться в нюансах CORS-политики и реальных рисков приватности. Они видят ярлык о слежке и делают быстрый вывод.

Интересно, что чувствительность к подобным меткам у мессенджеров намного выше, чем у обычных сайтов, поскольку они работают с перепиской и контактами миллионов пользователей.

В этой истории есть 2 разных смысловых слоя:

публичный сайт max.ru с его аналитикой и cookie;
мобильное приложение MAX в App Store и Google Play.

Отчёт Cloudflare по URL не является полноценным аудитом мобильного приложения, его разрешений, сетевого поведения, локального хранения данных или кода. Поэтому формулировка вроде «Cloudflare пометил мессенджер MAX как шпионское ПО» звучит громко, но точнее говорить о присвоении категории Spyware конкретно домену max.ru в рамках URL-сканирования.
Подобная разница не снимает вопросы к сервису, но меняет уровень доказательности. Для полноценного вывода о поведении приложения нужен отдельный набор работ:

технический анализ APK и IPA приложения;
разбор сетевого трафика клиента;
проверка списка разрешений на устройстве;
разбор политики обработки данных;
независимый внешний аудит безопасности.

На практике для MAX сейчас полезнее не спорить с ярлыком, а показать проверяемую техническую картину. Перед компанией стоит набор публичных вопросов о собираемых сайтом данных, используемых аналитических сервисах, цели запроса к privacy-cs.mail.ru, передаваемых в Метрику параметрах, ставящихся cookie, хранимом на устройстве материале и возможностях пользователя управлять сбором данных. Без подобных деталей любой спор остаётся обменом громкими заявлениями.
Независимый эксперт по вредоносному ПО заявил в разговоре с CISOCLUB: «История с MAX не доказывает шпионскую природу мессенджера, но обнажает высокий репутационный риск для любого коммуникационного сервиса без прозрачного объяснения своих трекеров и аналитики. Мессенджеру мало сказать о защите данных. Пользователям, исследователям и рынку нужны понятные ответы по сбору телеметрии, сторонним доменам, cookie, fingerprinting-запросам и результатам независимых проверок. Автоматическая метка Cloudflare вполне может быть ошибкой, но сама дискуссия вокруг неё показывает, что доверие к мессенджеру строится не на заявлениях, а на проверяемых технических фактах».