Специалисты по кибербезопасности выявили 213 уязвимостей в мессенджере Мах, заработав...

Специалисты по кибербезопасности выявили 213 уязвимостей в мессенджере Мах, заработав почти 22 млн рублей по программе Bug Bounty, заявил технический директор компании Positive Technologies Алексей Батюк. Один из участников тестирования рассказал «Коммерсанту», что самая распространённая уязвимость — IDOR (Insecure Direct Object Reference).

Это незащищённая прямая ссылка на объект, которая позволяет злоумышленникам подменять ID в запросах и получать доступ к чужим сообщениям, фото и файлам. Программу по поиску уязвимостей госмессенджера Max запустили 1 июля 2025 года. В пресс-службе Max заявили, что все данные пользователей мессенджера «надёжно защищены», а сообщения об уязвимостях являются «фейком».

«Попытки подать сам факт обнаружения уязвимостей в рамках Bug Bounty как „сенсацию“ и признак небезопасности продукта искажают смысл этих программ, которые как раз и создаются для контролируемого поиска и оперативного устранения потенциальных рисков», — объяснили представители мессенджера.