Картинка сгенерирована Шедеврумом
В рамках программы Bug Bounty специалисты по кибербезопасности выявили 213 уязвимостей в национальном мессенджере Max. Об этом сообщил Алексей Батюк, являющийся техническим директором в Positive Technologies по развитию государственного сектора, в ходе международной выставки «Связь‑2026», передает газета «Коммерсантъ».
Программа поиска уязвимостей за вознаграждение для мессенджера Max стартовала 1 июля 2025 года. Её суть проста: независимые исследователи, так называемые «белые хакеры», ищут слабые места в системе, а компания выплачивает им вознаграждение за каждый обнаруженный недостаток. Такой подход доказал свою эффективность: заинтересованность специалистов в получении премии стимулирует их тщательно анализировать безопасность продукта.
Данные с платформы Bug Bounty Standoff365 (входит в Positive Technologies) на 10 апреля 2026 года показывают: из 454 поданных отчётов принято 288. Общая сумма выплат достигла почти 22 млн руб., при этом средняя награда за уязвимость составила 349 тыс. руб. За последние 90 дней на этой платформе выплатили 9,5 млн руб. Кроме того, Max представлен ещё на двух площадках – Bi.Zone и «Киберполигон», где суммарно выплатили около 1,5 млн руб.
Наиболее распространённый тип обнаруженных слабых мест связан с уязвимостью IDOR (Insecure Direct Object Reference). Она позволяет злоумышленнику получить несанкционированный доступ к чужим данным, например, к сообщениям или профилям пользователей. Это происходит за счёт подмены идентификатора объекта (ID чата, сообщения или аккаунта) в запросе к серверу.
В Центре безопасности Max подчеркнули, что каждый поступивший отчёт тщательно проверяют, а выявленные уязвимости устраняют в приоритетном порядке. В частности, платформу уже исследовали ведущие международные эксперты в рамках конференции Zero Nights 2025. Тогда же компания решила повысить размер вознаграждения за обнаруженные недостатки, чтобы привлечь больше квалифицированных специалистов.
Представители пресс‑службы мессенджера заверили: данные пользователей надёжно защищены. Они напомнили, что программа Bug Bounty – это общепризнанный мировой стандарт обеспечения кибербезопасности. Её цель заключается в том, чтобы дать возможность независимым экспертам находить и оперативно устранять слабые места до того, как ими успеют воспользоваться злоумышленники. Попытки представить сам факт обнаружения уязвимостей как признак небезопасности продукта, по мнению команды Max, искажают суть таких инициатив: они как раз и созданы для контролируемого поиска и быстрого устранения потенциальных рисков.