В MAX взломали бота «Отложка» с правами администратора многих каналов

В мессенджере MAX взломали популярного бота «Отложка», используемого для отложенного постинга в каналах. Инцидент произошёл 27 мая 2026 года. Неизвестный злоумышленник смог разослать сообщения по крупным каналам, среди которых были футбольные клубы и известные бренды. Рассылки ушли от имени этих каналов и их заметили многие пользователи.

Бот «Отложка» имеет права администратора во всех подключённых каналах, поэтому может публиковать записи и отправлять любые сообщения от имени их авторов. Из-за этого любая уязвимость в самом боте сразу становится уязвимостью для всех подключённых каналов. Для запуска массовой рассылки достаточно получить доступ к боту.

Один из специалистов по информационной безопасности ранее уже описывал похожую уязвимость в другом сервисе отложенного постинга для MAX. В своём обзоре уязвимости он рассказал, что в обоих случаях стороннему боту передавали расширенные права администратора в каналах, что делало такой сервис единой точкой отказа. При взломе бота эти права можно было использовать для массовой рассылки по всем подключённым каналам.

Команда «Отложки» ограничилась несколькими короткими сообщениями в новостном канале сервиса. Представители сервиса сообщили о взломе, попросили пользователей не переходить по ссылкам из рассылок и заявили, что проблема закрыта. Подробностей о самой уязвимости и о принятых мерах защиты они не раскрыли. О работе с владельцами пострадавших каналов также не сообщалось.