| Автор |
Сообщение |
Новости ®
Вольный ветер
Стаж: 19 лет 7 мес.
Сообщений: 6428
Ratio: 25.216
Поблагодарили: 13430
100%
|
Белые хакеры выявили 213 уязвимостей в национальном мессенджере Max в рамках программы Bug Bounty, запущенной 1 июля 2025 года, пишет «Коммерсантъ» со ссылкой на заявление технического директора Positive Technologies по развитию государственного сектора Алексея Батюка на международной выставке «Связь-2026».
Батюк отметил высокую эффективность этой программы, стимулирующей заинтересованность белых хакеров и киберисследователей в поиске уязвимостей в программном продукте с помощью солидного денежного вознаграждения.
Согласно информации на платформе Bug Bounty Standoff365 (входит в Positive Technologies) по поиску багов в мессенджере Max, на 10 апреля 2026 года всего было принято 288 отчётов об уязвимостях из 454 отправленных. Общая сумма выплат вознаграждений за найденные баги составила почти 22 млн руб. при средней выплате в 349 тыс. руб. Только за последние 90 дней было выплачено 9,5 млн руб. Также нацмессенджер представлен на двух других платформах — Bi.Zone и «Киберполигон», на которых сумма выплат составила около 1,5 млн руб.
По словам одного из белых хакеров, чаще всего найти уязвимость удаётся по вектору IDOR (Insecure Direct Object Reference, небезопасная прямая ссылка на объект), когда приложение или API используют пользовательские данные для прямого доступа к объектам без должной проверки прав доступа. С её помощью злоумышленник может получить несанкционированный доступ к чужим данным или действиям, подменяя идентификатор объекта (например, ID сообщения, чата или пользователя) в запросе к серверу.
В Центре безопасности Max сообщили, что по каждому отчёту проводится строгая проверка, а уязвимости устраняются в приоритетном порядке. «Платформу исследовали лучшие международные эксперты на конференции Zero Nights 2025, тогда же для привлечения специалистов было повышено вознаграждение за выявленную уязвимость», — подчеркнули в центре.
В свою очередь, в пресс-службе Max сообщили, что все данные пользователей мессенджера находятся под надёжной защитой. «Bug Bounty — мировой стандарт и признак зрелой безопасности: независимые “белые хакеры” за вознаграждение помогают находить и быстро устранять уязвимости до того, как ими воспользуются злоумышленники. Попытки подать сам факт обнаружения уязвимостей в рамках Bug Bounty как “сенсацию” и признак небезопасности продукта искажают смысл этих программ, которые как раз и создаются для контролируемого поиска и оперативного устранения потенциальных рисков», — заявили в пресс-службе. Kommersant |
_________________
Включение указателя поворота заранее, действительно помогает другим водителям понять,
в каком направлении вы собираетесь двигаться, и делает вождение безопаснее для всех.
|
|
 |
el_bregg
Только чтение
Стаж: 15 лет 4 мес.
Сообщений: 208
Ratio: 13.096
100%
|
Brinnis писал(а):  | А как же инфа о том, что это самый безопасный и самый защищенный мессенджер? |
Нагло обманули!!! © |
|
|
|
|
maxad
Стаж: 16 лет 4 мес.
Сообщений: 1484
Ratio: 49.573
Поблагодарили: 206
100%
|
| KiliT_KrAB писал(а): | Чем больше охват аудитории, тем больше репортов, тем быстрее допиливание. |
То есть это нормально - сначала выпускать продукт, через который идёт авторизация в Госуслугах, а потом начинать по репортам юзеров фиксить баги. Такое открытое тестирование, где QA рискуют всем своим имуществом и персональными данными. Ну, ок, чо. Разумно, грамотно, ответственный государственный подход. А как иначе? Иначе никак. |
|
|
|
|
Mitchel06
Стаж: 11 лет 3 мес.
Сообщений: 81
Ratio: 3.701
0%
|
| KiliT_KrAB писал(а): | Ну норм, пущай допиливают и полируют. Всепропальцы всегда будут гундосить как всё плохо, чёж теперь ничего не делать??? Чем больше охват аудитории, тем больше репортов, тем быстрее допиливание. |
| Next писал(а): | Нашли и устранили. Нормальная практика. В мире IT нет и не было продукта, который выходил на рынок в идеальном состояние. Главное что выявляют, и устраняют. |
Да не вопрос, пусть тренируются, это полезно. Но не на мне. Остальных, особенно урапатриотов - не жалко. | fibi768 писал(а): | Чего тут обсуждать? Сырой продукт с детскими болезными, постепенно доводят до ума, он обязательно вырастет в основной мессенджер страны, раз государство так его внедряет. Станет ли он популярным - отдельный разговор. Но что будет необходимым инструментом - факт. |
Конечно! И популярным и необходимым, и прочая, особенно, если альтернатив не будет. Логично же, не? | Dasayw писал(а): | Во всех мессенгерах куча уязвимостей была найдена.. Главное что их ищут и устраняют. Но визг только про Макс ) |
Наверное, потому что в телеге и прочих мессенджерах нет биометрии, твоих паспортных данных, подвязки к госуслугам и гигатонн рекламы. А чё, Вы гражданин, свой паспорт на груди в раскрытом виде не носите, а в кармашек внутренний прячете? И бабосы свои пытаетесь от государства скрыть, налоги не заплатив или сэкономив? Непорядок! | colobok2008 писал(а): | WhatsApp и Telegram безопаснее? Да ну нафиг! Меня самого пытались обмануть мошенники в этих мессенджерах. В МАХЕе этого пока нет. Так что побуду пока на МАХе с его багами. |
Та ты шо! Вот в телеге ни разу ни один мошенник не нарисовался. По телефону только звонить пытались. А вот у доверчивым знакомым в махе - уже неоднократно пытались ключи от домофона впарить и из реестра тсж вычеркнуть... |
|
|
|
|
maxad
Стаж: 16 лет 4 мес.
Сообщений: 1484
Ratio: 49.573
Поблагодарили: 206
100%
|
А, во! Ловлю момент. Поскольку тут много так или иначе заинтересованных сторонников МАХ, подскажите мне, пожалуйста, существует ли возможность блокировки входа в этот мессенджер по биометрии? Ну, как в отвратительном телеграме (тьфу на него три раза, тьфу, гадость!). То есть не пользуешься им, допустим, минуту, и уже надо приложить палец, чтобы читать-писать в нём. Или при запуске, чтобы не открывались сразу все чаты для просмотра, а можно было бы дополнительно ввести биометрию при запуске?
Я никак не могу найти эту настройку. Помогите!!!11 |
|
|
|
|
asury
Стаж: 12 лет 6 мес.
Сообщений: 356
Ratio: 1.465
8.21%
|
за-то в 40 странах и даже на паркоФке |
|
|
|
|
delta1500
Стаж: 1 год 8 мес.
Сообщений: 338
Ratio: 1.332
0.51%
|
а Винда не дырявая, ващеее  , привыкли всё отечественное обсирать |
|
|
|
|
WizardWhite
Стаж: 2 года 10 мес.
Сообщений: 407
Ratio: 460.822
Поблагодарили: 8983
100%
|
Нормально работает в Испании, проверено. |
_________________
Мастер ушёл
|
|
|
|
modular
Стаж: 16 лет 1 мес.
Сообщений: 734
Ratio: 16.195
100%
Откуда: Забор Покрасьте
|
| delta1500 писал(а): | а Винда не дырявая, ващеее , привыкли всё отечественное обсирать |
Руки надо мыть перед тем как за компьютер сесть Добавлено спустя 1 минуту 21 секунду: | asury писал(а): | за-то в 40 странах и даже на паркоФке |
О, ужассс Добавлено спустя 1 минуту 21 секунду:Надо отдельный смартфон для отечественных приложений |
_________________
„Если вы каждый день живете так, как будто он последний, когда-нибудь вы окажетесь правы.“
|
|
|
|
delta1500
Стаж: 1 год 8 мес.
Сообщений: 338
Ratio: 1.332
0.51%
|
|
|
|
EDevil
Стаж: 9 мес. 19 дней
Сообщений: 158
Ratio: 1.696
1.35%
|
Интересно, кто это так присосался к бюджетным деньгам? |
|
|
|
|
kabalan
Стаж: 11 лет 7 мес.
Сообщений: 2
Ratio: 5.312
22.67%
|
Абсолютно согласен с тем, что импортные мессенджеры не более безопасны, чем мах. Но, получение информации обо мне через импортные мессенджеры америкосами и иными врагами, мне никак не навредит, я не обладаю гостайнами, а мои личные дела их мало интересуют. А вот родное правительство будет радо, например, начислить гражданину лишний штраф за упоминание того о чем нельзя говорить, останется только придумать, что нельзя говорить, ну или интерпретировать высказывание, как им нужно.
Борьба с жуликами? Жулики пользуются в основном телефоном, а не мессенджерами. Ко мне ни разу в импортном мессенджере не стучались жулики, а вот по телефону или на электронную почту регулярно.
В чем разница между мах и тимпортным мессенджером для пользователя? Последний никто не требует привязать к госуслугам или к цифровым ключам с доступом к персональной, банковской и прочей важной информации гражданина. В максе сейчас предлагают (потом принудительно потребуют) привязать все документы и данные (ИНН, паспорт, СНИЛС, мед полис и т.д.), типа так надежней. Для кого? И это уже сейчас, когда идет тестирование и выявляются баги и уязвимости. Да после этого вообще не придется клянчить информацию и пароли по телефону для "перевода на безопасный счет", достаточно будет получить доступ к мах. А они его получат.
Усиленное навязывание государством программы, обязательная предустановка на гаджеты и т.д., настораживает.
Да в конце концов, не мало людей, которым просто нужно пообщаться с родными или друзьями, находящимися за границей. |
|
|
|
|
StarRay
Стаж: 15 лет
Сообщений: 182
Ratio: 3.853
6.05%
|
| Цитата: | WhatsApp и Telegram безопаснее? Да ну нафиг! Меня самого пытались обмануть мошенники в этих мессенджерах. В МАХЕе этого пока нет. Так что побуду пока на МАХе с его багами. |
Чтобы точно не обманули нужно уехать в глухой лес и жить там одному без связи с внешним миром. Напомню, что госуслуги, привязанные к MAX хорошо так расширяют спектр того, что могут натворить мошенники |
|
|
|
|
modular
Стаж: 16 лет 1 мес.
Сообщений: 734
Ratio: 16.195
100%
Откуда: Забор Покрасьте
|
StarRayИ от лис держаться подальше, а то они такие коварные  |
_________________
„Если вы каждый день живете так, как будто он последний, когда-нибудь вы окажетесь правы.“
|
|
|
|
Невезучий
Стаж: 15 лет
Сообщений: 181
Ratio: 11.086
92.31%
Откуда: Крымская область, СССР
|
StarRay
Реально, на вацап постоянно были звонки, удалил его на фиг. На тг редко были звонки. На Max'e ни разу не было звонков. |
|
|
|
|
StarRay
Стаж: 15 лет
Сообщений: 182
Ratio: 3.853
6.05%
|
| Цитата: | Реально, на вацап постоянно были звонки, удалил его на фиг. На тг редко были звонки. На Max'e ни разу не было звонков. |
Можно разрешить звонки только от контактов |
|
|
|
|
|
|
|
