Охота на баги: как белые хакеры заработали 22 миллиона на безопасности MAX

Национальный мессенджер MAX прошел через масштабную «прожарку» киберспециалистов, собрав сотни отчетов об уязвимостях ради безопасности наших данных.

Безопасность в IT - это не когда «всё идеально», а когда ты знаешь свои слабые места и вовремя их латаешь. На днях технический директор Positive Technologies Алексей Батюк на выставке «Связь-2026» подвел промежуточные итоги большой охоты на ошибки в мессенджере MAX. 🤖

Для тех, кто не в теме: есть белые хакеры. Это киберниндзя, которые играют на светлой стороне. Вместо того чтобы воровать данные, они ищут дыры в коде и легально сдают их разработчикам за вознаграждение. Этот процесс называется Bug Bounty - мировой стандарт для любого зрелого сервиса.

Цифры и факты «с полей»

Программу Bug Bounty для MAX запустили еще 1 июля 2025 года. С тех пор проект успел знатно «хайпануть» в профессиональной среде:

На 10 апреля 2026 года киберэксперты подали 454 отчета.
Из них 288 уязвимостей уже подтвердили и приняли.
Общая сумма выплат составила почти 22 млн рублей.
В среднем за один качественный «репорт» хакер получает около 349 тысяч рублей. 💰

Кстати, только за последние три месяца темп поиска ускорился: выплачено 9,5 млн рублей. Видимо, исследователи всерьез взялись за код, особенно на фоне новостей о том, как активно MAX заходит в Узбекистан и другие страны.

Что именно искали?

Один из участников программы анонимно поделился с «Ъ», что чаще всего в MAX находят уязвимость типа IDOR. Если по-простому: это когда злоумышленник меняет какой-нибудь ID (например, номер сообщения или ID чата) в запросе и внезапно получает доступ к тому, что он видеть не должен. ⚠️

Да, продукт пока выглядит как сложный механизм, который активно докручивают прямо на ходу под присмотром государства. Но такие находки - это не краш системы, а её плановая диагностика. Чтобы корпоративная переписка или бизнес-процессы внутри MAX оставались приватными, дыры нужно закрывать до того, как их найдут «черные» хакеры.

Позиция мессенджера

В Центре безопасности MAX к ситуации относятся максимально спокойно. Каждый отчет проходит жесткий апрув, а баги устраняются в приоритетном порядке. Еще в 2025 году на конференции Zero Nights экспертам даже подняли чеки за найденные уязвимости, чтобы привлечь лучших из лучших.

В пресс-службе подчеркивают: Bug Bounty - это не признак дырявого софта, а доказательство того, что разработчикам не плевать на безопасность. Это нормальный цикл жизни любого крупного приложения: находим, фиксируем, выпускаем апдейт.

Источник: Коммерсантъ

👤 Автор: Семён Авдосов

📅 Опубликовано: 11.04.2026

🗂 Категория: Новости

🏷️ Метки: кибербезопасность, уязвимости, Bug Bounty, Positive Technologies, ИТ-технологии, хакеры.

👁 Прочитали: 11 раз.

Семён Авдосов

С 2016 года активно работаю с мессенджерами: пишу статьи, управляю каналами, чатами и ботами. Помогаю другим освоить платформы на все 100%. Сейчас сосредоточен на изучении нового игрока на рынке — мессенджера MAX. Разбираю его функционал, особенности и делюсь находками с сообществом.

Поделиться: VK Telegram