Белые хакеры подали более 200 отчетов об уязвимостях в Мах
Киберисследователи обнаружили 213 уязвимостей в национальном мессенджере Маx в рамках программы Bug Bounty, рассказал технический директор Positive Technologies по развитию государственного сектора Алексей Батюк на международной выставке «Связь-2026».
«Практика показала, что этот метод довольно-таки эффективен, потому что белые хакеры и киберисследователи заинтересованы искать уязвимость и получать за это деньги. У нас на платформе на данный момент национальный мессенджер находится. И в настоящий момент киберисследователи сдали 213 репортов об уязвимостях в этом мессенджере»,— приводит слова Батюка «Коммерсант».
Программу Bug Bounty (поиск уязвимостей в системах или продуктах компании за вознаграждение) нацмессенджера Max запустили 1 июля 2025 году. При этом на странице программы Max на платформе Bug Bounty Standoff365 (входит в Positive Technologies) говорится, что на 10 апреля 2026 года всего было принято 288 отчетов об уязвимостях (из 454 всего сданных), общая сумма выплат составила почти 22 млн руб. при средней выплате в 349 тыс. руб. (за последние 90 дней выплачено 9,5 млн руб.). Также нацмессенджер представлен на двух других платформах — Bi.Zone и «Киберполигон», на которых в сумме выплачено около 1,5 млн руб.
Один из белых хакеров, знакомый с ходом поиска уязвимостей в Max, рассказал «Коммерсанту», что чаще всего найти уязвимость удается по вектору IDOR (Insecure Direct Object Reference — это уязвимость, позволяющая злоумышленнику получить несанкционированный доступ к чужим данным или действиям, подменяя идентификатор объекта (например, ID сообщения, чата или пользователя) в запросе к серверу).
В Центре безопасности Max заявили, что каждый отчет проходит строгую проверку, уязвимости устраняются в приоритетном порядке: «Платформу исследовали лучшие международные эксперты на конференции Zero Nights 2025, тогда же для привлечения специалистов было повышено вознаграждение за выявленную уязвимость».
В пресс-службе Max заявили, что все данные пользователей мессенджера надежно защищены. «Bug Bounty — мировой стандарт и признак зрелой безопасности: независимые "белые хакеры" за вознаграждение помогают находить и быстро устранять уязвимости до того, как ими воспользуются злоумышленники. Попытки подать сам факт обнаружения уязвимостей в рамках Bug Bounty как "сенсацию" и признак небезопасности продукта искажают смысл этих программ, которые как раз и создаются для контролируемого поиска и оперативного устранения потенциальных рисков»,— заявили в мессенджере.
Комментарии читателей Оставить комментарий
Еще одна проблема с Махом и запретом Телеграмма появилась. Проблема разделения российских семей. Допустим, в семье 4 человека. Двое остались в Телеграмме, двое перешли на Мах. И как общаться? До разводов скоро дело дойдет. Какая тут, к ядреной фене, демография.
Проект царька и его родственников, все равно будут проталкивать, как бы плох он не был. Там миллиарды.
А может это одни и те же люди?
ну вспомнили положим не вы,а викисловарь.
Специалисты тестирующие МАХ поделились своим мнением. Эта програ просто мешок багсов (жуков) как на сленге называют ошибки в программе. Исправлять все залипухи просто запаришся, легче написать новую с нуля.