У расійскім дзяржмэсэнджары Max знайшлі сотні ўразлівасцяў
- 11.04.2026, 14:49
Яны дазваляюць чытаць перапіскі.
Удзельнікі праграмы Bug Bounty па пошуку «дырак» у ІТ-сістэмах выявілі 213 уразлівасцяў у падкантрольным расійскім уладам дзяржмэсэнджары Max, піша «Коммерсант» са спасылкай на тэхнічнага дырэктара Positive Technologies па развіцці дзяржсектара Аляксея Бацюка. «Практыка паказала, што гэты метад даволі-такі эфектыўны, таму што белыя хакеры і кібердаследчыкі зацікаўленыя шукаць уразлівасці і атрымліваць за гэта грошы… На гэты момант кібердаследчыкі перадалі 213 рэпартаў аб уразлівасцях у гэтым мэсэнджары [Max]», — паведаміў ён на міжнароднай выставе «Связь-2026».
Часцей за ўсё, паводле слоў аднаго з «белых» хакераў, у дзяржмэсэнджары сустракаецца ўразлівасць IDOR — клас памылак, калі доступ да чужых даных атрымліваюць праз падмену ідэнтыфікатараў у запытах да сэрвэра. Як вынікае са слоў суразмоўцы, знаёмага з праверкамі абароненасці Max, такі механізм можа адкрываць шлях да чужых паведамленняў, чатаў і карыстальніцкіх файлаў. На старонцы Bug Bounty на Standoff365 сярод самых «дарогіх» сцэнарыяў пазначаныя «доступ да прыватных паведамленняў канкрэтнага карыстальніка», «доступ да ўсяго карыстальніцкага кантэнту Max» і сэрвэрныя ўразлівасці з уцечкай абароненых персанальных даных, уключаючы выпадкі, звязаныя з IDOR.
Таксама на платформе адзначаецца, што праверка ўразлівасцяў сэрвісаў працуе з 1 ліпеня 2025 года, а да 10 красавіка 2026-га было прынята 288 рэпартаў аб уразлівасцях з пададзеных 459. Белым хакерам за працу было выплачана амаль 22 млн рублёў (сярэдняя выплата — 349 тыс. рублёў). Дзяржмэсэнджар прадстаўлены і на дзвюх іншых платформах — Bi.Zone і «Киберполигон», на якіх сумарна выплацілі каля 1,5 млн рублёў.
У Max са свайго боку заявілі, што спробы падаваць сам факт выяўлення ўразлівасцяў як «сенсацыю» і прыкмету неабароненасці скажаюць сэнс Bug Bounty, бо мэта такіх праграм — менавіта кантраляваны пошук і аператыўнае ўхіленне патэнцыйных рызык. Усе даныя карыстальнікаў Max надзейна абаронены, заяўляюць у прэс-службе мэсэнджара.