Киберисследователи обнаружили 213 уязвимостей в национальном мессенджере Max в рамках программы Bug Bounty. Об этом рассказал технический директор Positive Technologies по развитию государственного сектора Алексей Батюк на международной выставке «Связь-2026».
Алексей Батюк отметил, что этот метод показал высокую эффективность. Белые хакеры и киберисследователи заинтересованы в поиске уязвимостей и получении вознаграждения за свою работу. Национальный мессенджер находится на платформе компании, и на текущий момент киберисследователи сдали 213 отчётов об уязвимостях в этом продукте.
Программу Bug Bounty национального мессенджера Max запустили 1 июля 2025 года. На странице программы Max на платформе Standoff Bug Bounty (от Positive Technologies) указано, что на 10 апреля 2026 года было принято 288 отчётов об уязвимостях. Общее количество сданных отчётов составило 454. Общая сумма выплат достигла 22 млн рублей при средней выплате в 349 тысяч рублей. За последние 90 дней было выплачено 9,5 млн рублей. Национальный мессенджер также представлен на двух других платформах: BI.ZONE Bug Bounty и BugBounty.ru. На этих платформах в сумме было выплачено 1,5 млн рублей.
Издание «Коммерсантъ» со ссылкой на неназванного белого хакера сообщило, что в Max, что чаще всего найти уязвимость удаётся по вектору IDOR. Эта уязвимость позволяет злоумышленнику получить несанкционированный доступ к чужим данным или действиям. Для атаки надо подменить идентификатор объекта в запросе к серверу, например ID сообщения, чата или пользователя.
В Центре безопасности Max заявили, что каждый отчёт проходит строгую проверку. Уязвимости устраняются в приоритетном порядке. Платформу исследовали лучшие международные эксперты на конференции Zero Nights 2025. Тогда же для привлечения специалистов было повышено вознаграждение за выявленную уязвимость.
В пресс‑службе Max заявили, что все данные пользователей мессенджера надёжно защищены. Bug Bounty является мировым стандартом и признаком зрелой безопасности. Независимые белые хакеры за вознаграждение помогают находить и быстро устранять уязвимости до того, как ими воспользуются злоумышленники. Попытки подать сам факт обнаружения уязвимостей в рамках Bug Bounty как сенсацию и признак небезопасности продукта искажают смысл этих программ. Такие программы создаются для контролируемого поиска и оперативного устранения потенциальных рисков.
Компания Positive Technologies сообщила, что 10 апреля каналы в Telegram написали об обнаружении десятков уязвимостей в Max. При этом многие из них не уточнили, как эти уязвимости были выявлены и что все они были исправлены до того, как ими могли воспользоваться злоумышленники. Эти уязвимости были найдены исследователями безопасности в рамках программы багбаунти, в том числе на платформе Standoff Bug Bounty.
По словам Positive Technologies, с момента запуска программы багхантеры нашли в Max десятки уязвимостей. Это произошло до того, как уязвимостями воспользовались злоумышленники. За это багхантеры получили суммарно и легально 22 млн рублей.
VK запустила в июле 2025 года программу по поиску уязвимостей в мессенджере Max в рамках акцента на защиту приватности пользователей. Проект Bug Bounty для Max доступен на всех платформах, где размещена программа VK Bug Bounty — Standoff Bug Bounty, BI.ZONE Bug Bounty и BugBounty.ru.
ссылка на оригинал статьи https://habr.com/ru/articles/1022208/