В мессенджере Max нашли 213 уязвимостей — за них белые хакеры получили почти 22 млн рублей
Почему 213 уязвимостей в мессенджере Max — это хорошо: честный разбор программы Bug Bounty
В июле 2025 года национальный мессенджер Max запустил программу Bug Bounty. Результат? За несколько месяцев белые хакеры нашли 213 уязвимостей. Звучит пугающе. Но давайте разберемся без паники.
Я много лет пишу о кибербезопасности. И скажу прямо: если в продукте не находят баги — это подозрительно. Значит, никто не ищет. Или ищут, но молчат. А программа вроде той, что запустил Max, наоборот — признак зрелой безопасности.
Что такое Bug Bounty и зачем это нужно
Bug Bounty — это когда компания платит исследователям за найденные дыры. Белые хакеры (white hat) получают вознаграждение, а разработчики — отчеты об уязвимостях. Выгодно всем. Злоумышленникам такие дыры достаются гораздо дороже, если вообще достаются.
По данным платформы Standoff365 (она же входит в Positive Technologies), на 10 апреля 2026 года из 454 отправленных отчетов приняли 288. Общая сумма выплат — почти 22 миллиона рублей. Средняя выплата — 349 тысяч рублей. За последние 90 дней — 9,5 миллиона.
Эти цифры не про слабость. Они про системную работу.
Самый популярный вектор — IDOR
Один из исследователей рассказал, что чаще всего уязвимости находят с помощью IDOR (Insecure Direct Object Reference). Звучит сложно, но суть проста: приложение доверяет пользовательскому вводу, не проверяя права доступа. Допустим, вы меняете ID чата в адресной строке — и получаете доступ к чужому диалогу. Сервер не проверяет: «А имеешь ли ты право?»
Исправление таких багов — база. Но их находят даже в крупных проектах. Хорошо, что находят до того, как ими воспользуются плохие ребята.
Личное наблюдение автора
Недавно я заметил, что многие российские компании до сих пор боятся запускать Bug Bounty. Боятся, что найдут «критическое» и придется публично признавать проблемы. На практике же — чем раньше найдешь, тем дешевле исправить. Max пошел правильным путем. И 22 миллиона — это инвестиция в репутацию, а не потеря.
Микроинструкция: как оценить зрелость безопасности по программе Bug Bounty
Если вы выбираете мессенджер или любой другой сервис для рабочих задач, посмотрите на их программу Bug Bounty. Вот три критерия:
- Открытость. Есть ли публичная программа? Если да — компания не прячет проблемы.
- Среднее время исправления. Max, кстати, заявляет приоритетное устранение. Проверьте, как быстро закрывают критические баги.
- Размер вознаграждения. Чем выше выплаты, тем сильнее мотивация для хакеров. 349 тысяч в среднем — серьезная сумма.
Совет: не верьте продуктам, которые говорят «у нас нет уязвимостей». Верьте тем, кто их ищет и платит за находки.
Сравнение: что было бы без программы
Представим гипотетическую ситуацию. Max не запустил бы Bug Bounty. Тогда эти 213 дыр скорее всего нашли бы злоумышленники. Или не нашли бы — и они остались бы в коде на годы. Вот простая таблица, чтобы понять разницу:
| Сценарий | Без Bug Bounty | С Bug Bounty |
|---|---|---|
| Обнаружение уязвимости | Случайно или атакующим | Контролируемое белыми хакерами |
| Срок исправления | Недели — месяцы (если обнаружат) | Дни — недели (приоритетно) |
| Стоимость для компании | Утечка данных, судебные иски, потеря доверия | Выплата вознаграждения (22 млн руб.) |
| Прозрачность для пользователей | Узнают из новостей об утечке | Могут отслеживать статистику программы |
«Bug Bounty — мировой стандарт и признак зрелой безопасности: независимые белые хакеры за вознаграждение помогают находить и быстро устранять уязвимости до того, как ими воспользуются злоумышленники». Эта цитата из пресс-службы Max — не пустые слова. Это работающая практика.
Что дальше?
Max не остановился на Standoff365. Мессенджер также представлен на платформах Bi.Zone и «Киберполигон», где сумма выплат составила еще около 1,5 миллиона рублей. Общая экосистема поиска уязвимостей — это постоянно действующий механизм. И он дает результат: 288 принятых отчетов — это 288 потенциальных проблем, которые больше не угрожают пользователям.
В центре безопасности Max подчеркивают: каждый отчет проходит строгую проверку, а вознаграждение повысили после конференции Zero Nights 2025. Значит, система эволюционирует.
Авторский вывод
Не покупайтесь на заголовки про «213 уязвимостей». Это не провал, а показатель того, что продукт проверяют лучшие умы. Если ваш мессенджер не участвует в Bug Bounty — задумайтесь, почему. А если участвует и платит адекватные деньги — это повод доверять.
Честная безопасность стоит дорого. Но она того стоит.
