Наш пост про использование национальным мессенджером MAX опенсорс библиотек из недружественных стран вчера разлетелся настолько широко (мы не хотели, честно), что даже его пресс-служба написала нам в бота:

Все данные МАХ и данные пользователей хранятся в российских дата-центрах и не передаются за пределы РФ.

Спору-то, по вопросу о хранении данных, собственно, и нет - в скромной технической документации это прямо обозначено. Однако о том, что безальтернативно используемая в мессенджере пуш-инфраструктура Firebase Cloud Messaging от Google (сервера которого в России неизбежно устаревают😉) какие-то данные все-таки передает - нигде почему-то нет ни слова.

Развитием MAX занимается команда российских специалистов. Команда использует собственные разработки и библиотеки с открытым исходным кодом, которые проходят обязательный аудит информационной безопасности — как внутренний, так и с привлечением внешних партнеров. ИТ-компании по всему миру применяют именно такой подход.

Безусловно, команда российских специалистов вольна использовать библиотеки с открытым исходным кодом (пусть даже фамилия одного из её разработчиков буквально МАЙДАН) - это стандартная практика, ничуть не заслуживающая порицания. Но не тогда, когда вопрос стоит в сфере разработки национального мессенджера, через который будут проходить терабайты весьма специфической информации, особливо при интеграции с правительственными приложениями. Эксплойты, бэкдоры и закладки никто не отменял, даже в используемом вами Gitlab (Cyberok регулярно выявляют подобное в сотнях опенсорс-продуктов), тем более что примеров куча - Ctx, phppass, Winbox, node-IPC, старая история с GRUB2, es5-ext, ESP8266 и ESP32. Просто загуглите Protestware и сами все увидите (ну или почитайте тут).

А ведь у вас еще и библиотека Fresco экстремистской организации Facebook, используется. Никаких данных она, если верить MIT, не отправляет, но чего-то сомневаемся что вы заказывали полноценный её аудит. Сравнивая с тем же WeChat, как российский аналог которому подается MAX, внезапно выяснится что у первого используются только свои (за исключением, типа OpenSSL) собственные опенсорс-решения - Tencent к этому вопросу подходит максимально серьезно.

То, что с проблемами защищенности персональных данных в России полный швак - рассказывать думаем не надо. Десятки компаний существуя в законодательном поле РФ их собирают и за мелкий прайс выдают кому угодно, в том числе впоследствии звонящим "офисникам", разводящим на продажи квартир и поджоги, совсем-совсем не секрет. И ладно бы там были просто ФИО с датой рождения и связью по номерам телефонов, так нет же - и данные паспорта, и десятка банков, и заказов из курьерских служб, и мобильных операторов.

Компания VK вывела на рынок полностью российский мессенджер, который по своей базовой функциональности сопоставим с зарубежными конкурентами… Приложение построено на новой инфраструктуре. В него сразу встроена технология машинного обучения. И этот мессенджер, по многочисленным отзывам, обеспечивает очень хорошее качество голосовых вызовов. Самое главное, что это открытая платформа, которая позволяет внешним поставщикам встраивать внутрь мессенджера свои сервисы. Российский мессенджер смогут использовать банки для взаимодействия с клиентами, а россияне при помощи него будут предъявлять документы. Даже школьные чаты, где находятся родители, ученики и учителя, могут перейти в отечественный мессенджер.

В общем-то надеемся смысл вы уловили. Если что, нам особо-то и дела до этого мессенджера нет и канал у нас, в первую очередь, про скамы, пирамиды, крипту и мамонтов, а не про вот это вот все. Просто не стоит называть горячее - холодным, а лениво собранное из опенсорс-решений нечто с кучей дыр - полностью российским и импортозамещенным, когда как даже встроенный туда чат-бот не обучен генерации на изображениях где представлен русский язык и, потому, сам отрисовывать его не умеет.

P.S. Про государственную слежку и упоминать не стоит - и так все ясно.

UPD: до кучи вот еще https://www.group-telegram.com/ep_uc/3600.