Белые хакеры подали более 200 отчетов об уязвимостях в Мах

Киберисследователи обнаружили 213 уязвимостей в национальном мессенджере Max в рамках программы Bug Bounty. Об этом рассказал технический директор Positive Technologies по развитию государственного сектора Алексей Батюк на международной выставке «Связь-2026».

Алексей Батюк отметил, что этот метод показал высокую эффективность. Белые хакеры и киберисследователи заинтересованы в поиске уязвимостей и получении вознаграждения за свою работу. Национальный мессенджер находится на платформе компании, и на текущий момент киберисследователи сдали 213 отчётов об уязвимостях в этом продукте.

Программу Bug Bounty национального мессенджера Max запустили 1 июля 2025 года. На странице программы Max на платформе Standoff Bug Bounty (от Positive Technologies) указано, что на 10 апреля 2026 года было принято 288 отчётов об уязвимостях. Общее количество сданных отчётов составило 454. Общая сумма выплат достигла 22 млн рублей при средней выплате в 349 тысяч рублей. За последние 90 дней было выплачено 9,5 млн рублей. Национальный мессенджер также представлен на двух других платформах: BI.ZONE Bug Bounty и BugBounty.ru. На этих платформах в сумме было выплачено 1,5 млн рублей.

Издание «Коммерсантъ» со ссылкой на неназванного белого хакера сообщило, что в Max чаще всего найти уязвимость удаётся по вектору IDOR. Эта уязвимость позволяет злоумышленнику получить несанкционированный доступ к чужим данным или действиям. Для атаки надо подменить идентификатор объекта в запросе к серверу, например ID сообщения, чата или пользователя.

В Центре безопасности Max заявили, что каждый отчёт проходит строгую проверку. Уязвимости устраняются в приоритетном порядке. Платформу исследовали лучшие международные эксперты на конференции Zero Nights 2025. Тогда же