Post #21550

Киберисследователи обнаружили 213 уязвимостей в национальном мессенджере Маx в рамках программы Bug Bounty. Об этом рассказал технический директор Positive Technologies по развитию государственного сектора Алексей Батюк на международной выставке «Связь-2026». «Практика показала, что этот метод довольно-таки эффективен, потому что белые хакеры и киберисследователи заинтересованы искать уязвимость и получать за это деньги. У нас на платформе на данный момент национальный мессенджер находится. И в настоящий момент киберисследователи сдали 213 репортов об уязвимостях в этом мессенджере»,— сказал господин Батюк Программу Bug Bounty (поиск уязвимостей в системах или продуктах компании за вознаграждение) нацмессенджера Max запустили 01.07.2025 г. При этом на странице программы Max на платформе Bug Bounty Standoff365 (входит в Positive Technologies) говорится, что на 10.04.2026 г. всего было принято 288 отчетов об уязвимостях (из 454 всего сданных), общая сумма выплат составила почти 22 млн руб. при средней выплате в 349 тыс. руб. (за последние 90 дней выплачено 9,5 млн руб.). Также нацмессенджер представлен на двух других платформах — Bi.Zone и «Киберполигон», на которых в сумме выплачено около 1,5 млн руб. Один из белых хакеров, знакомый с ходом поиска уязвимостей в Max, рассказал “Ъ”, что чаще всего найти уязвимость удается по вектору IDOR (Insecure Direct Object Reference — это уязвимость, позволяющая злоумышленнику получить несанкционированный доступ к чужим данным или действиям, подменяя идентификатор объекта (например, ID сообщения, чата или пользователя) в запросе к серверу). Попытки подать сам факт обнаружения уязвимостей в рамках Bug Bounty как "сенсацию" и признак небезопасности продукта искажают смысл этих программ, которые как раз и создаются для контролируемого поиска и оперативного устранения потенциальных рисков»,— заявили в пресс-службе Max. Источник