Белые хакеры подали более 200 отчетов об уязвимостях в Мах

Киберисследователи обнаружили 213 уязвимостей в национальном мессенджере Маx в рамках программы Bug Bounty, рассказал технический директор Positive Technologies по развитию государственного сектора Алексей Батюк на международной выставке «Связь-2026».

«Практика показала, что этот метод довольно-таки эффективен, потому что белые хакеры и киберисследователи заинтересованы искать уязвимость и получать за это деньги. У нас на платформе на данный момент национальный мессенджер находится. И в настоящий момент киберисследователи сдали 213 репортов об уязвимостях в этом мессенджере»,— сказал господин Батюк.

Программу Bug Bounty (поиск уязвимостей в системах или продуктах компании за вознаграждение) нацмессенджера Max запустили 1 июля 2025 году. При этом на странице программы Max на платформе Bug Bounty Standoff365 (входит в Positive Technologies) говорится, что на 10 апреля 2026 года всего было принято 288 отчетов об уязвимостях (из 454 всего сданных), общая сумма выплат составила почти 22 млн руб. при средней выплате в 349 тыс. руб. (за последние 90 дней выплачено 9,5 млн руб.). Также нацмессенджер представлен на двух других платформах — Bi.Zone и «Киберполигон», на которых в сумме выплачено около 1,5 млн руб.

Один из белых хакеров, знакомый с ходом поиска уязвимостей в Max, рассказал “Ъ”, что чаще всего найти уязвимость удается по вектору IDOR (Insecure Direct Object Reference — это уязвимость, позволяющая злоумышленнику получить несанкционированный доступ к чужим данным или действиям, подменяя идентификатор объекта (например, ID сообщения, чата или пользователя) в запросе к серверу).

В Центре безопасности Max заявили, что каждый отчет проходит строгую проверку, уязвимости устраняются в приоритетном порядке: «Платформу исследовали лучшие международные эксперты на конференции Zero Nights 2025, тогда же для привлечения специалистов было повышено вознаграждение за выявленную уязвимость».

В пресс-службе Max заявили, что все данные пользователей мессенджера надежно защищены. «Bug Bounty — мировой стандарт и признак зрелой безопасности: независимые "белые хакеры" за вознаграждение помогают находить и быстро устранять уязвимости до того, как ими воспользуются злоумышленники. Попытки подать сам факт обнаружения уязвимостей в рамках Bug Bounty как "сенсацию" и признак небезопасности продукта искажают смысл этих программ, которые как раз и создаются для контролируемого поиска и оперативного устранения потенциальных рисков»,— заявили в мессенджере.

Источник