Белые хакеры нашли в Max больше 200 уязвимостей

13.04.2026

Национальный мессенджер Max получил более 200 отчетов об уязвимостях в рамках программы Bug Bounty. Об этом на выставке «Связь-2026» сообщили представители Positive Technologies. По их словам, киберисследователи уже сдали 213 репортов по уязвимостям в сервисе.

При этом на платформе Standoff365 на 10 апреля указаны более высокие цифры: всего туда отправили 454 отчета, из которых приняты 288. Общая сумма выплат составила почти 22 млн рублей, а средняя выплата достигла 349 тысяч рублей. Еще около 1,5 млн рублей, по приведенным данным, выплатили на площадках Bi.Zone и «Киберполигон».

Программа Bug Bounty для Max стартовала 1 июля 2025 года. Ее суть в том, что независимые исследователи ищут уязвимости в продукте за вознаграждение, а команда сервиса затем проверяет и устраняет найденные проблемы.

По данным одного из белых хакеров, знакомого с ходом исследований, чаще всего в Max удается находить уязвимости класса IDOR. Это тип ошибки, при котором злоумышленник может получить доступ к чужим данным или действиям, подменяя идентификаторы объектов в запросах, например ID сообщения, чата или пользователя.

В самом Max заявляют, что каждый отчет проходит строгую проверку, а выявленные проблемы устраняются в приоритетном порядке. В пресс-службе мессенджера подчеркивают, что наличие Bug Bounty не говорит о небезопасности продукта, а, наоборот, считается признаком зрелого подхода к защите, когда потенциальные риски находят и закрывают до того, как ими воспользуются злоумышленники.