Хакеры нашли более 200 уязвимостей в мессенджере Max: что известно

Масштабная программа Bug Bounty выявила 213 уязвимостей в национальном мессенджере, а общая сумма выплат исследователям превысила 22 миллиона рублей.

В национальном мессенджере Max, разработанном компанией VK, в рамках программы по поиску уязвимостей Bug Bounty обнаружено 213 уязвимостей. Об этом сообщил технический директор Positive Technologies по развитию государственного сектора Алексей Батюк на международной выставке «Связь-2026».

Max — российский мессенджер, являющийся внутренним сервисом одноимённой цифровой платформы. Платформа основана в 2025 году технологической компанией VK, разрабатывается её дочерней структурой ООО «Коммуникационная платформа».

Цифры программы: масштаб и вознаграждения

Программа Bug Bounty для мессенджера Max стартовала 1 июля 2025 года. По состоянию на 10 апреля 2026 года на платформе Standoff Bug Bounty (от Positive Technologies) зафиксированы следующие показатели:

• Всего сдано отчетов: 454
• Принято отчетов: 288
• Общая сумма выплат: 22 млн рублей
• Средняя выплата: 349 тысяч рублей

Только за последние 90 дней исследователям выплачено 9,5 млн рублей. Кроме того, программа представлена на двух других платформах — BI.ZONE Bug Bounty и BugBounty.ru, где суммарные выплаты составили около 1,5 млн рублей.

Самая распространенная уязвимость: IDOR

По информации издания «Коммерсантъ», ссылающегося на анонимного участника программы, чаще всего исследователи находят уязвимости класса IDOR (Insecure Direct Object Reference).

Этот тип уязвимости позволяет злоумышленнику получить несанкционированный доступ к чужим данным или действиям. Для проведения атаки необходимо подменить идентификатор объекта в запросе к серверу — например, ID сообщения, чата или пользователя.

Реакция разработчиков: «Это признак зрелой безопасности»

В Центре безопасности Max подчеркнули, что все данные пользователей мессенджера находятся под надежной защитой, а сама программа Bug Bounty является мировым стандартом.

«Bug Bounty — мировой стандарт и признак зрелой безопасности: независимые "белые хакеры" за вознаграждение помогают находить и быстро устранять уязвимости до того, как ими воспользуются злоумышленники», — заявили представители мессенджера.

В компании также отметили, что каждый отчет проходит строгую проверку, а найденные уязвимости устраняются в приоритетном порядке. Разработчики назвали попытки представить факт обнаружения уязвимостей в рамках Bug Bounty как сенсацию искажением смысла этих программ.

Мнение экспертов: работа на опережение

Киберэксперт, генеральный директор компании «ИТ-Резерв» Павел Мясоедов прокомментировал ситуацию, назвав участие Max в программах Bug Bounty показателем серьезного подхода к безопасности.

«213 репортов и 22 млн выплат — это не уязвимость MAX, а показатель серьезного подхода и работы на опережение команды этого мессенджера», — подчеркнул специалист.

Мясоедов также привел международные аналоги: в прошлом году WhatsApp (принадлежит признанной экстремистской в РФ компании Meta) потратил на программы поиска уязвимостей более 20 млн долларов, а крупнейшая выплата Telegram превысила 200 тысяч долларов за обнаружение комплекса критических уязвимостей.

Контекст: продвижение Max в России

Национальный мессенджер Max был запущен компанией VK в марте 2025 года. Российские власти активно продвигают этот сервис, на фоне чего Роскомнадзор блокирует другие популярные мессенджеры, включая Telegram и WhatsApp.

Max неоднократно подвергался критике из-за потенциальных рисков слежки за пользователями и проблем с безопасностью. Однако разработчики последовательно внедряют международные практики обеспечения безопасности, включая программы Bug Bounty.

Значение Bug Bounty для кибербезопасности

Программа Bug Bounty (дословно — «вознаграждение за ошибку») представляет собой модель, при которой компании приглашают независимых исследователей безопасности находить уязвимости в их продуктах за денежное вознаграждение.

Такой подход позволяет:

1. Обнаружить скрытые проблемы, которые могли быть упущены внутренними командами тестирования
2. Сэкономить ресурсы — компания платит только за реально найденные уязвимости
3. Оперативно устранять риски до того, как ими смогут воспользоваться злоумышленники

Максимальное вознаграждение за обнаружение уязвимости в Max изначально составляло 5 млн рублей, а в 2026 году было повышено.

Итоги

Обнаружение 213 уязвимостей в национальном мессенджере Max вызвало широкий резонанс в СМИ и социальных сетях. Однако, по мнению экспертов и самих разработчиков, сам факт проведения программы Bug Bounty и прозрачность отчетности свидетельствуют о зрелом подходе к кибербезопасности, а не о недостатках продукта.

Все найденные уязвимости были устранены до того, как ими могли воспользоваться, или уже воспользовались злоумышленники. Программа продолжает работу, и исследователи безопасности продолжают получать вознаграждения за новые обнаруженные проблемы.

Пока одни ищут уязвимости за миллионы, а другие их устраняют — мы следим за деньгами и технологиями. Чтобы не пропустить следующие рекорды выплат или разбор новых векторов атак, 🔔 подписывайтесь на наш канал. Если материал был полезен — 👍 поставьте лайк, это поможет алгоритмам показывать аналитику чаще.