Киберисследователи отправили более 200 отчётов об уязвимостях в мессенджере Max в рамках программы Bug Bounty. Об этом на выставке «Связь-2026» рассказал технический директор Positive Technologies по развитию госсектора Алексей Батюк. Сообщает Коммерсантъ.
По его словам, такой формат поиска уязвимостей показывает свою эффективность, поскольку специалисты по безопасности заинтересованы находить ошибки в продукте и получать за это вознаграждение. В ходе выступления он уточнил, что по Max было сдано 213 репортов.
При этом на странице программы Max на платформе Standoff365 указаны более высокие цифры. По состоянию на 10 апреля 2026 года там значатся 454 отправленных отчёта, из которых приняты 288. Общая сумма выплат почти достигла 22 млн рублей, а средняя выплата составила 349 тысяч рублей.
Дополнительно программа Bug Bounty для Max работает ещё на двух площадках — Bi.Zone и «Киберполигон». По ним суммарные выплаты составили около 1,5 млн рублей.
Один из исследователей, знакомый с ходом программы, рассказал, что одной из самых частых проблем в Max остаются уязвимости класса IDOR. Такой тип ошибки может позволить получить доступ к чужим данным или действиям через подмену идентификаторов в запросах.
В команде Max заявили, что каждый отчёт проходит проверку, а найденные проблемы устраняются в приоритетном порядке. В компании подчеркнули, что сама программа Bug Bounty не говорит о слабой защите продукта, а, наоборот, считается стандартной практикой для контролируемого поиска и быстрого исправления потенциальных рисков.
