XChat: как понять, можно ли доверять новому мессенджеру рабочие переписки

Когда появляется новый мессенджер с заявлением о сквозном шифровании, первый вопрос не «насколько он удобен», а «кому принадлежат ключи и что компания делает с метаданными». XChat от X Corp (компании, управляющей платформой X/Twitter) — случай, где ответы на эти вопросы неоднозначны.

Что такое XChat

XChat — мессенджер от X Corp, встроенный в экосистему X (бывший Twitter). Вход через аккаунт X. Декларируемые функции: сквозное шифрование сообщений, исчезающие сообщения, обмен файлами. Доступен в App Store, рейтинг на момент анализа — 3,9 из 5 на основе около 1900 отзывов.

Почему это важно для рабочей переписки

В рабочих переписках проходит не просто общение — проходят данные клиентов, детали договорённостей, доступы к сервисам, финансовая информация. Если мессенджер компрометирован или собирает больше данных, чем нужно, последствия касаются не только вас, но и ваших клиентов.

Выбор мессенджера для работы — это решение с последствиями. Его стоит принимать на основе проверяемых данных, а не маркетинговых заявлений.

Дополнительный контекст для фрилансеров и небольших команд: смена мессенджера редко бывает бесследной. Перенести историю переписки из одной системы в другую сложно, а иногда невозможно. Это значит, что решение о рабочем канале коммуникации лучше принимать взвешенно — и не менять его из-за новинки, не проверив безопасность заранее.

Чеклист: как оценить любой новый мессенджер перед рабочим использованием

Эти вопросы работают для любого инструмента, не только XChat:

• Кто разработчик и какова его репутация в вопросах данных? История нарушений или изменений политики конфиденциальности — важный сигнал.
• Где хранятся ключи шифрования? На устройстве пользователя — сильнее. На серверах компании — слабее: компания технически может получить доступ к сообщениям.
• Какие данные собирает приложение? Проверяйте раздел App Privacy в App Store или Data Safety в Google Play — там фиксируется то, что сам разработчик задекларировал.
• Что происходит с данными при изменении политики компании или смене владельца? Пользователи редко читают обновлённые условия, но именно там фиксируются новые права на данные.
• Можно ли экспортировать историю переписки? Если нет — ваши данные заперты в системе.
• Какие методы аутентификации доступны? 4-значный PIN — это значительно слабее, чем длинный пароль или аппаратный ключ.

XChat по этому чеклисту

Разработчик

X Corp — публичная компания под управлением Илона Маска. Платформа X прошла через несколько волн изменений политики конфиденциальности и разбирательств с регуляторами. Это не автоматически делает XChat небезопасным, но история требует повышенного внимания.

Хранение ключей

По данным анализа Kaspersky Blog, ключи шифрования XChat хранятся на серверах компании, а не на устройстве пользователя. Это принципиальное отличие от Signal или WhatsApp с их сквозным шифрованием с ключами на устройстве. При серверном хранении ключей компания технически имеет возможность расшифровать переписку — по запросу властей, по внутреннему решению или в случае компрометации серверов.

Собираемые данные

Согласно данным App Store (раздел App Privacy), XChat собирает: контакты, идентификаторы устройства, данные об использовании. Это типичный набор для крупных платформ, но он означает, что ваша активность в приложении анализируется.

Аутентификация

4-значный PIN с 20 попытками ввода — слабая защита по современным стандартам. Kaspersky в своём анализе прямо сравнивает уровень безопасности XChat с Facebook Messenger, а не с Signal. Для чувствительных рабочих данных этот уровень защиты недостаточен.

Итог по чеклисту

XChat по большинству критериев безопасности уступает специализированным мессенджерам. Заявление о E2E-шифровании есть, но реализация — серверные ключи — существенно снижает его практическую ценность.

Для каких задач XChat подходит, а для каких — нет

Не рекомендуется для:

• Передачи данных клиентов
• Обсуждения условий договоров
• Передачи доступов, паролей, ключей
• Любой переписки, которая при утечке создаёт юридические или репутационные риски

Приемлемо для:

• Неформальной координации с контактами, уже активными на X
• Публичных обсуждений или тем, которые не требуют конфиденциальности
• Тестирования инструмента без передачи чувствительной информации

Альтернативы для рабочей переписки

• Signal — открытый исходный код, ключи на устройстве, минимальный сбор метаданных. Де-факто стандарт для высокочувствительных коммуникаций.
• Telegram (секретные чаты) — сквозное шифрование только в режиме секретного чата; обычные чаты хранятся на серверах Telegram.
• Корпоративная почта с шифрованием — для формальной переписки с документами.
• Slack или аналоги с корпоративными настройками безопасности — подходят, если команда работает внутри одного рабочего пространства с контролируемым доступом.

Выбор между этими инструментами зависит от типа данных и состава команды. Signal оптимален, если приоритет — максимальная защита переписки. Telegram с секретными чатами — компромисс между удобством и безопасностью. Корпоративная почта остаётся базовым и наиболее предсказуемым каналом для документов и формальных договорённостей.

Если всё же тестируете XChat

Разумный подход: создайте отдельный канал коммуникации для несенситивного контента. Никогда не переносите клиентские данные в новый мессенджер до завершения проверки безопасности. Дайте инструменту время — посмотрите, как компания реагирует на выявленные уязвимости и насколько быстро выходят обновления.

Ещё один практичный ориентир: если у вас нет времени прочитать политику конфиденциальности нового инструмента — это само по себе аргумент против его использования для рабочих данных. Политика конфиденциальности X Corp публична и доступна на официальном сайте X. Несколько минут на её чтение — разумная инвестиция перед тем, как переводить туда рабочую переписку.

Источник для анализа: данные App Store listing XChat (X Corp), анализ безопасности Kaspersky Blog, официальная политика конфиденциальности X Corp. Данные по продуктам проверены на официальных сайтах.