В рамках программы Bug Bounty белые хакеры выявили 213 уязвимостей в национальном мессенджере Max. Об этом сообщил директор по развитию бизнеса безопасной разработки ИБ‑компании Positive Technologies Алексей Антонов на международной выставке «Связь‑2026».

По словам Антонова, программа Bug Bounty доказала свою эффективность: киберисследователи мотивированы искать уязвимости, поскольку получают за это вознаграждение. На текущий момент специалисты направили 213 отчётов об обнаруженных проблемах в работе мессенджера.

Чаще всего уязвимости выявлялись по вектору IDOR (Insecure Direct Object Reference). Эта уязвимость даёт злоумышленнику возможность получить несанкционированный доступ к чужим данным — например, к сообщениям или фотографиям. Для этого достаточно подменить идентификатор объекта (ID сообщения, чата или пользователя) в запросе к серверу.

В Центре безопасности Max заверили, что:

• каждый отчёт об уязвимости проходит строгую проверку;

• выявленные проблемы устраняются в приоритетном порядке.

Кроме того, в Центре напомнили, что платформу ранее исследовали ведущие международные эксперты на конференции Zero Nights 2025. Тогда же было повышено вознаграждение за обнаружение уязвимостей — чтобы привлечь больше специалистов.

Примечательно, что накануне компания Max полностью отрицала возможность подобного взлома.