В рамках программы багбаунти «белые» хакеры обнаружили 213 уязвимостей в мессенджере Max. Об этом на выставке «Связь — 2026» рассказал технический директор Positive Technologies по развитию государственного сектора Алексей Батюк.
Программу запустили 1 июля прошлого года, и к 10 апреля на платформе Standoff Bug Bounty в отношении «нацмессенджера» было принято 288 отчётов об уязвимостях. Общая сумма выплат участникам достигла 22 млн рублей — при среднем вознаграждении в 349 тысяч рублей. При этом Мах также представлен на BI.ZONE Bug Bounty и BugBounty.ru — эти платформы в сумме выплатили исследователям 1,5 млн рублей.
Источник «Коммерсанта» сообщил, что чаще всего в новом сервисе удаётся найти уязвимость по вектору IDOR. Эта брешь позволяет злоумышленнику получить несанкционированный доступ к чужим данным — если он подменит идентификатор объекта в запросе к серверу, например, ID сообщения, чата или пользователя.
В пресс‑службе Max заверили, что вся информация в контуре мессенджера надёжно защищена, а также напомнили: программы багбаунти и создаются для контролируемого поиска и оперативного устранения потенциальных рисков.
.jpg)
.jpg)