На платформе Standoff365 белые хакеры сдали 213 отчётов об уязвимостях в мессенджере Max, рассказал технический директор Positive Technologies Алексей Батюк на выставке «Связь-2026». Общая сумма выплат исследователям по программе Bug Bounty с июля 2025 года достигла почти 22 млн рублей, средний чек за найденную брешь — 349 тысяч, пишет «Ъ».
Самый частый вектор атаки — IDOR, позволяющий подменой идентификатора получить доступ к чужим сообщениям или данным. В пресс-службе Max парируют: сам факт находок в рамках контролируемого поиска — не скандал, а признак зрелой безопасности. Каждый репорт проходит проверку, уязвимости устраняются в приоритетном порядке, уверяют разработчики.
Программа Bug Bounty для национального мессенджера развёрнута на трёх полигонах, включая Bi.Zone и «Киберполигон», с совокупным фондом выплат около 23,5 млн рублей. Это классический метод зачистки кода до того, как бреши нащупают злоумышленники. Факт обнаружения сотен дыр в продукте, позиционируемом как защищённый канал для госструктур, поднимает вопрос о качестве исходной архитектуры, но платформа демонстрирует готовность платить за ошибки, а не заметать их под ковёр.