En la plataforma Standoff365, los hackers de sombrero blanco entregaron 213 informes sobre vulnerabilidades en el mensajero Max, según informó el director técnico de Positive Technologies, Alexéi Batiuk, en la exposición «Sviaz-2026». El monto total de los pagos a los investigadores bajo el programa Bug Bounty desde julio de 2025 alcanzó casi los 22 millones de rublos, con un cheque promedio por brecha encontrada de 349 mil, escribe «Ъ».
El vector de ataque más frecuente es IDOR, que permite, mediante la sustitución del identificador, obtener acceso a mensajes o datos ajenos. En el servicio de prensa de Max replican: el hecho mismo de los hallazgos en el marco de una búsqueda controlada no es un escándalo, sino una señal de seguridad madura. Cada informe pasa por una verificación, y las vulnerabilidades se eliminan de manera prioritaria, aseguran los desarrolladores.
El programa Bug Bounty para el mensajero nacional se ha desplegado en tres polígonos, incluyendo Bi.Zone y «Kiberpoligon», con un fondo total de pagos de alrededor de 23,5 millones de rublos. Este es un método clásico de limpieza del código antes de que los agujeros sean detectados por los delincuentes. El hecho de descubrir cientos de agujeros en un producto que se presenta como un canal seguro para las estructuras estatales plantea la cuestión de la calidad de la arquitectura original, pero la plataforma demuestra estar dispuesta a pagar por los errores en lugar de esconderlos bajo la alfombra.
