В госмессенджере Max нашли сотни уязвимостей, позволяющих читать переписки

Участники программы поиска «брешей» в IT-системах Bug Bounty выявили 213 уязвимостей в подконтрольном властям госмессенджере Маx, пишет «Коммерсант» со ссылкой на технического директора Positive Technologies по развитию госсектора Алексея Батюка. «Практика показала, что этот метод довольно-таки эффективен, потому что белые хакеры и киберисследователи заинтересованы искать уязвимость и получать за это деньги… В настоящий момент киберисследователи сдали 213 репортов об уязвимостях в этом мессенджере [Max]», — сообщил он на международной выставке «Связь-2026».

Чаще всего, по словам одного из «белых» хакеров, в госмессенджере встречается уязвимость IDOR — класс ошибок, при котором доступ к чужим данным получают через подмену идентификаторов в запросах к серверу. Как следует из слов собеседника, знакомого с проверками защищенности Max, такой механизм может открывать дорогу к чужим сообщениям, чатам и пользовательским файлам. На странице Bug Bounty на Standoff365 среди самых «дорогих» сценариев указаны «доступ к приватным сообщениям конкретного пользователя», «доступ ко всему пользовательскому контенту Max» и серверные уязвимости с утечкой защищенных персональных данных, включая случаи, связанные с IDOR.

Подписаться / Читать полностью

Купить VPN

Обход блокировки Telegram