В национальном мессенджере Max нашли сотни уязвимостей. Белые хакеры подали более 200 отчетов

В национальном мессенджере Max выявили сотни потенциальных уязвимостей в рамках программы Bug Bounty. Об этом на выставке «Связь-2026» сообщил технический директор Positive Technologies по развитию госсектора Алексей Батюк, передает «КоммерсантЪ».

По его словам, киберисследователи направили не менее 213 отчетов о найденных проблемах. Программа поиска уязвимостей с денежными вознаграждениями действует с июля 2025 года и, как отметил Батюк, показывает эффективность за счет вовлеченности независимых специалистов.

Согласно данным платформы Standoff365, где размещена программа, к апрелю 2026 года было подано 454 отчета, из которых приняты 288. Общая сумма выплат приблизилась к 22 млн рублей, при средней награде около 349 тысяч рублей. Только за последние три месяца исследователям выплатили около 9,5 млн рублей. Дополнительно выплаты проводились через платформы Bi.Zone и «Киберполигон» — там суммарно перечислили около 1,5 млн рублей.

Собеседник, знакомый с процессом тестирования, рассказал, что одной из наиболее распространенных проблем остается уязвимость класса IDOR — она позволяет получить доступ к чужим данным через подмену идентификаторов в запросах.

В службе безопасности Max заявили, что все отчеты проходят проверку, а найденные уязвимости устраняются в приоритетном порядке. Там также подчеркнули, что участие в Bug Bounty соответствует мировой практике: подобные программы позволяют находить и закрывать потенциальные риски до того, как ими воспользуются злоумышленники.