Россиянам блокируют Telegram ради недоделанного Max, который имеет 213 уязвимостей
Издание «Коммерсант» со ссылкой на технического директора Positive Technologies по развитию государственного сектора Алексея Батюка сообщило, что киберисследователи выявили 213 уязвимостей в навязываемом чиновниками мессенджере Max в рамках программы Bug Bounty.
Батюк на международной выставке «Связь-2026» отметил, что данный подход является достаточно эффективным, поскольку «белые хакеры» и специалисты по кибербезопасности мотивированы на поиск уязвимостей благодаря вознаграждению. Он сообщил, что в настоящее время на платформе представлен национальный мессенджер, и киберисследователи уже направили 213 отчетов об обнаруженных уязвимостях.
Программа Bug Bounty, предполагающая поиск уязвимостей в продуктах компании за вознаграждение, была запущена для мессенджера Max 1 июля 2025 года. При этом на странице программы на платформе Standoff365 (входит в Positive Technologies) указано, что к 10 апреля 2026 года было принято 288 отчетов об уязвимостях из 454 поданных, а общая сумма выплат составила почти 22 млн рублей при средней выплате 349 тыс. рублей. За последние 90 дней сумма выплат достигла 9,5 млн рублей. Также программа действует на платформах Bi.Zone и «Киберполигон», где совокупные выплаты составили около 1,5 млн рублей.
Один из специалистов по поиску уязвимостей сообщил «Коммерсанту», что чаще всего уязвимости в Max обнаруживаются через вектор IDOR (Insecure Direct Object Reference), который позволяет получить несанкционированный доступ к данным или действиям путем подмены идентификаторов объектов в запросах к серверу.
В Центре безопасности Max заявили, что каждый отчет проходит проверку, а выявленные уязвимости устраняются в приоритетном порядке. Там также отметили, что платформу ранее изучали международные эксперты на конференции Zero Nights 2025, после чего было увеличено вознаграждение за найденные уязвимости для привлечения специалистов.
В пресс-службе Max подчеркнули, что данные пользователей якобы защищены, а программа Bug Bounty является мировым стандартом в области кибербезопасности. По их словам, участие независимых специалистов позволяет находить и устранять уязвимости до их возможного использования злоумышленниками, а сам факт выявления уязвимостей якобы не свидетельствует о небезопасности продукта, а отражает работу системы контролируемого поиска и устранения рисков.
