Национальный мессенджер Max стал объектом масштабного исследования в рамках программы Bug Bounty, в ходе которой было обнаружено 213 уязвимостей. Программа, запущенная 1 июля 2025 года, привлекла внимание белых хакеров и киберэкспертов, которые получили почти 22 млн рублей за свои находки. Эта инициатива не только демонстрирует эффективность Bug Bounty, но и подчеркивает важность постоянного улучшения безопасности цифровых продуктов.
Обзор программы Bug Bounty
Результаты и статистика
- Всего принято 288 отчётов из 454 отправленных.
- Общая сумма выплат составила почти 22 млн рублей.
- Средняя выплата за одну уязвимость — 349 тыс. рублей.
Платформы для поиска уязвимостей
Программа Bug Bounty была реализована на трёх платформах:
- Bug Bounty Standoff365 (входит в Positive Technologies).
- Bi.Zone и «Киберполигон» (сумма выплат — около 1,5 млн рублей).
Основные типы уязвимостей
IDOR: небезопасная прямая ссылка на объект
Как отметил один из участников программы, наиболее распространённым типом уязвимости оказался вектор IDOR (Insecure Direct Object Reference). Эта проблема возникает, когда приложение или API используют пользовательские данные для доступа к объектам без должной проверки прав доступа.
Последствия уязвимостей
- Возможность несанкционированного доступа к данным.
- Подмена идентификаторов объектов (например, ID сообщений или пользователей).
Реакция разработчиков и меры безопасности
Проверка и устранение уязвимостей
В Центре безопасности Max подчеркнули, что каждый отчёт проходит строгую проверку, а устранение уязвимостей осуществляется в приоритетном порядке.
Мнение экспертов
«Bug Bounty — мировой стандарт и признак зрелой безопасности: независимые “белые хакеры” за вознаграждение помогают находить и быстро устранять уязвимости до того, как ими воспользуются злоумышленники» — заявили в пресс-службе Max.
Заключение
Программа Bug Bounty в мессенджере Max доказала свою эффективность, привлекая экспертов со всего мира и обеспечивая оперативное устранение потенциальных рисков. Это важный шаг в укреплении безопасности цифровых продуктов и защиты данных пользователей.
