Московские новости
Киберпанк,Интернет

Белые хакеры с июля прошлого года нашли в мессенджере МАХ более 200 уязвимостей

В рамках программы поиска уязвимостей Bug Bounty киберисследователи, которых называют также белыми хакерами, обнаружили в национальном мессенджере МАХ 213 уязвимостей, сообщает «Коммерсантъ» со ссылкой на директора по развитию бизнеса безопасной разработки ИБ-компании Positive Technologies Алексея Антонова. Тестировать на уязвимости отечественный мессенджер волонтеры начали в июле 2025 года.

Практика показала, что этот метод довольно-таки эффективен, потому что белые хакеры и киберисследователи заинтересованы искать уязвимость и получать за это деньги. У нас на платформе на данный момент национальный мессенджер находится. И в настоящий момент киберисследователи сдали 213 репортов об уязвимостях в этом мессенджере.

Алексей Антоновдиректор по развитию бизнеса безопасной разработки

Positive Technologies

Больше всего уязвимостей тестировщики-добровольцы находят по вектору IDOR (Insecure Direct Object Reference — это уязвимость, позволяющая злоумышленнику получить несанкционированный доступ к чужим данным или действиям, подменяя идентификатор объекта (например, ID сообщения, чата или пользователя в запросе к серверу), добавляет издание со ссылкой на одного из участников программы.

Что такое программа Bug Bounty

Программа Bug Bounty — это поиск уязвимостей в программных продуктах за вознаграждение от разработчика. Она действует в рамках экосистемы VK — именно эта корпорация разработала МАХ. Мессенджер включен в программу 1 июля 2025 года, максимальная награда за обнаруженную уязвимость составляла 5 млн рублей, в 2026 году она была повышена.

В рамках этой программы белым хакерам уже выплачено почти 23,5 млн рублей на трех платформах — Bug Bounty Standoff365, Bi.Zone и «Киберполигон». Первая из них, самая крупная (награды там составили 22 млн рублей), приняла 288 отчетов об уязвимостей из 454 рассмотренных.

В Центре безопасности МАХ 10 апреля подчеркнули, что «данные пользователей национального мессенджера Max находятся под надежной защитой, а сообщения об уязвимостях являются фейковыми». Программа Bug Bounty, в рамках которой действуют белые хакеры, создана «для контролируемого поиска и оперативного устранения потенциальных рисков», пояснили представители платформы.