Участники программы поиска «брешей» в IT-системах Bug Bounty выявили 213 уязвимостей в подконтрольном властям госмессенджере Маx, пишет «Коммерсант» со ссылкой на технического директора Positive Technologies по развитию госсектора Алексея Батюка. «Практика показала, что этот метод довольно-таки эффективен, потому что белые хакеры и киберисследователи заинтересованы искать уязвимость и получать за это деньги… В настоящий момент киберисследователи сдали 213 репортов об уязвимостях в этом мессенджере [Max]», — сообщил он на международной выставке «Связь-2026». Чаще всего, по словам одного из «белых» хакеров, в госмессенджере встречается уязвимость IDOR — класс ошибок, при котором доступ к чужим данным получают через подмену идентификаторов в запросах к серверу. Как следует из слов собеседника, знакомого с проверками защищенности Max, такой механизм может открывать дорогу к чужим сообщениям, чатам и пользовательским файлам. На странице Bug Bounty на Standoff365пишет среди самых «дорогих» сценариев указаны «доступ к приватным сообщениям конкретного пользователя», «доступ ко всему пользовательскому контенту Max» и серверные уязвимости с утечкой защищенных персональных данных, включая случаи, связанные с IDOR. Также на платформе отмечается, что проверка уязвимостей сервисов работает с 1 июля 2025 года, а к 10 апреля 2026-го было принято 288 отчетов об уязвимостях отчетов из поданных 459. Белым хакерам за работу было выплачено почти 22 млн рублей (при средней выплате в 349 тыс. рублей). Госмессенджер представлен и на двух других платформах — Bi.Zone и «Киберполигон», на которых суммарно выплатили около 1,5 млн рублей. В Max со своей стороны заявили, что попытки представить сам факт обнаружения уязвимостей как «сенсацию» и признак незащищенности искажает смысл Bug Bounty, потому что цель таких программ — как раз в контролируемом поиске и оперативном устранении потенциальных рисков. Все данные пользователей Max надежно защищены, утверждают в пресс-службе мессенджера.
