Ответ основан на официальных заявлениях, технических исследованиях и анализе независимых специалистов по состоянию на апрель 2026 года.
Прежде чем говорить о серверах, важен контекст. Max — российский мессенджер, разработанный технологическим холдингом VK через дочернюю структуру ООО «Коммуникационная платформа». Это не государственное приложение в строгом смысле, а коммерческий продукт частной компании, которому законодательно присвоен статус «национального мессенджера». С 1 сентября 2025 года Max стал обязательным к предустановке на смартфоны и планшеты, продаваемые в России.
Официальная позиция: серверы в России
Министерство цифрового развития РФ официально подтвердило, что вся инфраструктура мессенджера Max полностью расположена на территории страны, а передача персональных данных за рубеж не осуществляется.
Пресс-служба VK категорически заявила, что данные MAX хранятся в российских дата-центрах.
Техническая реальность: распределённая инфраструктура
Платформа построена на распределённой серверной архитектуре: дата-центры размещены в разных регионах, для передачи данных используется протокол WebSocket, заявлено шифрование при передаче (TLS) и при хранении (AES-256), а от DDoS-атак защищает система автоматического масштабирования нагрузки.
Это стандартная архитектура для крупных российских платформ: VK уже многие годы эксплуатирует собственные дата-центры в нескольких регионах России, и Max работает поверх той же инфраструктуры.
Что нашли независимые исследователи
Здесь начинается наиболее интересная часть. Участники NTC-форума, специализирующегося на изучении интернет-цензуры, проанализировали сетевой трафик официального APK мессенджера Max с помощью приложения PCAPdroid, которое перехватывает соединения без root-прав.
Результаты анализа показали несколько тревожных моментов:
1. Обращения к иностранным сервисам определения IP
Max регулярно опрашивает сразу несколько сервисов для получения внешнего IP-адреса пользователя, причём среди них — иностранные: api.ipify.org (сеть Cloudflare, США) и checkip.amazonaws.com (Amazon AWS).
Само по себе это не криминал — такие запросы нужны, например, для настройки P2P-звонков через WebRTC. Однако исследователей насторожило, что источников слишком много: если цель — просто узнать внешний IP, обычно хватает одного сервиса.
2. Обращения к доменам конкурентов
В списке исходящих соединений обнаружились обращения к доменам, связанным с Telegram (main.telegram.org) и WhatsApp (mmg.whatsapp.net). Домен mmg.whatsapp.net используется WhatsApp для загрузки медиафайлов и в настоящее время заблокирован Роскомнадзором. Его можно удобно использовать для мониторинга того, насколько заблокированы конкуренты в сети пользователя.
3. Возможное детектирование VPN
Одновременное обращение к российским и иностранным IP-сервисам позволяет сопоставить полученные адреса и с высокой точностью определить, использует ли пользователь VPN или прокси — особенно при раздельной маршрутизации трафика.
Что VK ответил на критику
Разработчики признали факт использования иностранных библиотек, но назвали это общепринятой международной практикой, на которую опираются в том числе Google, Microsoft и Яндекс, и подчеркнули, что каждый сторонний компонент проходит аудит безопасности. Для повышения доверия была запущена программа Bug Bounty с вознаграждением до 5 миллионов рублей за критические уязвимости.
Итоговая картина
| Аспект | Факт |
|---|---|
| Основные серверы | Российские дата-центры VK, несколько регионов РФ |
| Юрлицо-оператор | ООО «Коммуникационная платформа», Москва |
| Шифрование | TLS при передаче, AES-256 при хранении |
| Сквозное шифрование | Отсутствует по умолчанию |
| Обращения к зарубежным IP | Подтверждены (Cloudflare, Amazon AWS) |
| Обращения к доменам конкурентов | Подтверждены (Telegram, WhatsApp) |
Вывод
Ситуация с серверами Max типична для крупных платформ с регуляторным давлением: основное хранилище данных действительно находится в России, что подтверждается и официально, и косвенно (VK владеет собственными ЦОД). Однако «сервера в России» не означает полной изоляции трафика: приложение обращается к зарубежным сервисам в рабочем режиме, а отсутствие сквозного шифрования означает, что сообщения физически доступны операторам платформы на российских серверах. Для обычного пользователя это означает одно: данные хранятся под российской юрисдикцией, но технический след приложения выходит за её пределы.