В Max обнаружили более 200 уязвимостей, в том числе — доступ к чужим данным

Киберисследователи обнаружили 213 уязвимостей в мессенджере Маx в рамках программы Bug Bounty, пишет "Коммерсантъ".

Программу Bug Bounty (поиск уязвимостей в системах или продуктах компании за вознаграждение) мессенджера Max запустили 1 июля 2025 года. На странице программы Max на платформе Bug Bounty Standoff365 говорится, что на 10 апреля всего было принято 288 отчетов об уязвимостях (из 454 всего сданных), общая сумма выплат составила почти 22 млн руб. при средней выплате 349 тыс. руб.

Один из хакеров рассказал, что чаще всего удается найти уязвимость по вектору IDOR — она позволяет злоумышленнику получить несанкционированный доступ к чужим данным или действиям, подменяя идентификатор объекта (например, ID сообщения, чата или пользователя) в запросе к серверу.

При этом в пресс-службе Max сообщили, что все данные пользователей мессенджера надежно защищены.

«Bug Bounty — мировой стандарт и признак зрелой безопасности: независимые "белые хакеры" за вознаграждение помогают находить и быстро устранять уязвимости до того, как ими воспользуются злоумышленники. Попытки подать сам факт обнаружения уязвимостей в рамках Bug Bounty как "сенсацию" и признак небезопасности продукта искажают смысл этих программ, которые как раз и создаются для контролируемого поиска и оперативного устранения потенциальных рисков», — заявили в мессенджере.

НОВОСТИОбщество

"Мы все как на иголках". В Барнауле аккаунты школьников в Max массово взламывают мошенники