| Автор |
Сообщение |
Новости ®
Вольный ветер
Стаж: 19 лет 6 мес.
Сообщений: 6385
Ratio: 25.214
Поблагодарили: 13425
100%
|
Белые хакеры выявили 213 уязвимостей в национальном мессенджере Max в рамках программы Bug Bounty, запущенной 1 июля 2025 года, пишет «Коммерсантъ» со ссылкой на заявление технического директора Positive Technologies по развитию государственного сектора Алексея Батюка на международной выставке «Связь-2026».
Батюк отметил высокую эффективность этой программы, стимулирующей заинтересованность белых хакеров и киберисследователей в поиске уязвимостей в программном продукте с помощью солидного денежного вознаграждения.
Согласно информации на платформе Bug Bounty Standoff365 (входит в Positive Technologies) по поиску багов в мессенджере Max, на 10 апреля 2026 года всего было принято 288 отчётов об уязвимостях из 454 отправленных. Общая сумма выплат вознаграждений за найденные баги составила почти 22 млн руб. при средней выплате в 349 тыс. руб. Только за последние 90 дней было выплачено 9,5 млн руб. Также нацмессенджер представлен на двух других платформах — Bi.Zone и «Киберполигон», на которых сумма выплат составила около 1,5 млн руб.
По словам одного из белых хакеров, чаще всего найти уязвимость удаётся по вектору IDOR (Insecure Direct Object Reference, небезопасная прямая ссылка на объект), когда приложение или API используют пользовательские данные для прямого доступа к объектам без должной проверки прав доступа. С её помощью злоумышленник может получить несанкционированный доступ к чужим данным или действиям, подменяя идентификатор объекта (например, ID сообщения, чата или пользователя) в запросе к серверу.
В Центре безопасности Max сообщили, что по каждому отчёту проводится строгая проверка, а уязвимости устраняются в приоритетном порядке. «Платформу исследовали лучшие международные эксперты на конференции Zero Nights 2025, тогда же для привлечения специалистов было повышено вознаграждение за выявленную уязвимость», — подчеркнули в центре.
В свою очередь, в пресс-службе Max сообщили, что все данные пользователей мессенджера находятся под надёжной защитой. «Bug Bounty — мировой стандарт и признак зрелой безопасности: независимые “белые хакеры” за вознаграждение помогают находить и быстро устранять уязвимости до того, как ими воспользуются злоумышленники. Попытки подать сам факт обнаружения уязвимостей в рамках Bug Bounty как “сенсацию” и признак небезопасности продукта искажают смысл этих программ, которые как раз и создаются для контролируемого поиска и оперативного устранения потенциальных рисков», — заявили в пресс-службе. Kommersant |
_________________
Миром правит не тайная ложа, а явная лажа. © В. Пелевин.
|
|
 |
Николас Онтарио
Стаж: 5 лет 3 мес.
Сообщений: 15
Ratio: 3.628
0%
|
Brinnis писал(а):  | А как же инфа о том, что это самый безопасный и самый защищенный мессенджер? |
Полюбому инфа не сотка, выдуманная либерастическая новость про 22 миллиона улыбнуло конечно  |
|
|
|
|
hiMik555
Стаж: 14 лет
Сообщений: 59
Ratio: 33.124
20.16%
|
Ну очень хочется верить, что баги были разнообразными и реальными (в данном контексте), белые и пушистые хакеры тоже - реальными людьми со стороны, и вознаграждения получили они, а не "свои люди". Хочется, но у нас (да и в любой) в системе, как обычно - всё возможно и всё неоднозначно. |
|
|
|
|
rush-spb
Стаж: 14 лет 4 мес.
Сообщений: 5
Ratio: 100.975
100%
|
Как рядовой пользователь скажу, что пользуюсь Максом и какого-то негатива нет. Как тут уже писали, каких то странных звонков, спама и прочей дичи нет, в отличии от того же вотсапа и телеграмма. Не знаю уж с чем это связано, с безопасностью или же стечением обстоятельств, но пока факт. Конечно же, парочку фишек надо бы прикрутить, баги убрать, но мессенджеру всего год. На старте и телега выглядела, как кусок говна. Посмотрим, главное чтобы не забросили разработку.
Вы не забывайте, что любой мессенджер это бизнес и тот же Дуров делает деньги на нем. Глупо думать, что ему выгодна блокировка на территории РФ или еще где-то. Он будет говорить и делать то, что полезно его бизнесу в первую очередь, а слова "свободный интернет" и прочее лишь инструмент для получения прибыли и новых "клиентов".
Но это мое личное мнение. Не навязываю. |
|
|
|
|
Adolf2010
Стаж: 15 лет 5 мес.
Сообщений: 91
Ratio: 3.221
4.72%
|
Windows дырявый постоянно выпускает заплатки, но многих это не парит. Здесь что-то похожее. Жаль я не белый хакер. ) |
|
|
|
|
Ilya0001
Стаж: 7 лет 1 мес.
Сообщений: 10
Ratio: 19.534
6.59%
|
colobok2008
Только не выходи на улицу) А то ещё узнаешь, что могут обманывать ЖКХ, приставы, налоговики, судьи, полиция, военкоматы, правительство много чего обещать (и мало чего вообще исполнять). Страшно представить если встретишься с лотереями, финансовыми пирамидами, ставкой ЦБ и многим, многим другим. То что тебя пытались обмануть, проблема исключительно твоя, ведь ты кажется имеешь не мало родственного с мамонтами. |
|
|
|
|
FreeMarksman
Стаж: 15 лет 2 мес.
Сообщений: 1688
Ratio: 8.747
Поблагодарили: 508
54.8%
|
В топпку дырявый Макс, гнилой, неудобный, неконкурентоспособный, еще и навязываемый сверху. Худшее из того, что было. И зачем я должен его ставить? Народ серая масса не сопротивляется, печально.... Ну, зато понятно кто свой, а кто чужой. К сожалению, статистика неутешительна(((
Я эту дырявую какашку никогда не поставлю. Даже если потеряю с кем-то контакт. Звонки. Ну, а так - ну и не нужен ты мне, раз любишь Макс |
_________________
Загружая нелегальный софт вы загружаете коммунизм
|
|
|
|
Ilya0001
Стаж: 7 лет 1 мес.
Сообщений: 10
Ratio: 19.534
6.59%
|
rush-spb
А я как рядовой пользователь скажу, что подобная твоей нейтральность, хуже любого внешнего врага. Нас лишают доступа ко всему, с чего дядям из Ядра не капает лично в карман. Вместо того чтобы развивать здоровую конкуренцию, вурдалаки ВСЁ скупили, ВСЁ отжали и ВСЁ заблочили, и начисто угробили в стране предпринимательскую среду, думая, что раз Китай самостоятельный в своих сервисах, то и они это могут повторить. Но мы знаем с какого места у них растёт голова и чем всё по итогу кончится. |
|
|
|
|
Phantom7108
Стаж: 14 лет 7 мес.
Сообщений: 51
Ratio: 98.08
16.09%
|
| Mitchel06 писал(а): | | colobok2008 писал(а): | WhatsApp и Telegram безопаснее? Да ну нафиг! Меня самого пытались обмануть мошенники в этих мессенджерах. В МАХЕе этого пока нет. Так что побуду пока на МАХе с его багами. |
Та ты шо! Вот в телеге ни разу ни один мошенник не нарисовался. По телефону только звонить пытались. А вот у доверчивым знакомым в махе - уже неоднократно пытались ключи от домофона впарить и из реестра тсж вычеркнуть... |
Та ты шо. Ключи от домофона это телега и whatsapp, от туда пошло. Этот развод был до макса. Счетчики и тд. |
|
|
|
|
MaxZus
Стаж: 12 лет 11 мес.
Сообщений: 1706
Ratio: 24.455
Поблагодарили: 107
100%
|
Какой легальный распил бабла.  |
|
|
|
|
synelf
Стаж: 13 лет 4 мес.
Сообщений: 67
Ratio: 8.757
0.31%
|
| delta1500 писал(а): | а Винда не дырявая, ващеее  , привыкли всё отечественное обсирать |
Мы не привыкли, просто отечественное оно само такое. У меня только вопрос, а вот эти люди которые кричат это все норма, это нормально, макс хороший они реальны, что правда такие тупые существуют? Интересно, а они повзрослеют когда нибудь и научатся без взрослого родителя их ограничивающего и контролирующего жить и принимать самостоятельные решения и сами смогут думать без того что государство вложит им в голову или это на всю жизнь у них чтобы прям за ручку водили и выбирали что думать и как делать? Напоминает детский садик где всю группу ведут на горшки и дети радостно кричат. |
|
|
|
|
sid_john
-=trackermaniac=-
Стаж: 16 лет 5 мес.
Сообщений: 1800
Ratio: 4.021
Раздал: 49.57 TB
Поблагодарили: 4710
100%
Откуда: из 80-х
|
...сами баги оставляют, сообщают "друзьям", те находят, получают награду и потом делят бабосики.
неужели не понятна схема...известная всем. |
_________________
В раю климат хороший,..но в аду компания!
Cisco Networks
|
|
|
|
dmitrius_true
Стаж: 1 год 5 мес.
Сообщений: 16
0%
|
kabalan
1. Про Bug Bounty
Большинство больших компаний практикуют точно такуюже программу. Там также находят сотни ошибок.
Это офигенная практика. Это первый признак, что программой занимаются СЕРЬЕЗНО! Не просто, тяп ляп и в продакшен, а подошли серьезно. Идеального ПО не существует. Всё ПО багованое и глючное. Даже программа уровня hello world имеет минимум два бага!)
И тут новость что нашли 213 уязвимостей, которыми не воспользуются мошенники. Это каеф!
2. Мошенники не стучатся в в импортные мессенджеры.
Типичная ошибка выжившего. Разрушается этот миф любой сводкой МВД/КБ Банка и тп. Львиная доля разводов проходят именно в ТГ и Ватцапе(кто этим дерьмом вообще пользуется? там с безопасностью проблема, Дурова любимого спросите, он не раз рассказывал про проблемы). Мошенники обожают ТГ и Ватцап, так как там можно прикинутся любым персонажем, можно легко купить номер и разводить людей. В МАХ уже с этим сложней - это не значит, что прям невозможно, наверняка некие виды обмана и там будут и есть, но поле развода резко сокращается!
При этом защита МАХ не хуже других мессенджеров и использует такие же протоколы защиты как в твоей банковской программе, которой ты доверяешь.
4. Про слежку.
Это самый большой миф от людей которые впринципе не разбираются в КБ, в следственных мероприятиях и тп. Ну то есть, обычный васян не понимает насколько это глупое утверждение.
В России работает СОРМ, у спецслужб есть доступ к банкам, к смс, к биллингу, могут слушать твои телефонные разговоры, которым ты почемуто доверяешь, а их прослушать может даже сосед. Ты никому не нужен. Тебя не зачем слушать. Особенно нашим спецслужбам. Не нарушай закон и всё. Никто тебя не тронет. А если нарушишь, то будет МАХ, не будет МАХ, все равно тебя натянут на кукан.
При этом твои данные корпорации продают, используют для заработка бабла, чтобы тебя накуканить. Вот этого ты не боишься, то что тебя напрямую влияет. Удивительно блин)
Я больше государству доверяю, чем гуглу. Так как у государства прозрачней политика и я больше на нее влияю, чем на гугл и другие корпорации.
5. Никто тебе не запрещает общаться с родвениками. Месеннджеров сотни. Бери, общайся. Очередной миф.
При этом ты в упор не видишь, что это мировой тренд.
США, ЕС, Китай, Англия, Индия и тп. Все делают ТОЖЕ САМОЕ! Все странны регулируют месенджеры, сайты, телефоны и тп. Нету исключений в нашем мире. Даже там где хомячкам рассказывают про свободу, там ее нет, там свои ограничения.ф |
|
|
|
|
moonZlo
Стаж: 7 лет 10 мес.
Сообщений: 368
Ratio: 44.1
Поблагодарили: 1917
100%
|
А где отчет по багам то? Какие критические были? Может это баги из разряда, нажал - не нажалось. Как обычный люд узнает о статусе закрытия бага? Тут ключевой элемент всей статьи: | Цитата: | мировой стандарт и признак зрелой безопасности |
Показываем биомассе что всё созрело |
_________________
|
|
|
|
zz13
Стаж: 14 лет 2 мес.
Сообщений: 2865
Ratio: 3.884
30.26%
|
| Brinnis писал(а): | А как же инфа о том, что это самый безопасный и самый защищенный мессенджер? |
на современной архитектуре это в принципе невозможно ни при каких условиях. |
|
|
|
|
dmitrius_true
Стаж: 1 год 5 мес.
Сообщений: 16
0%
|
| synelf писал(а): | | delta1500 писал(а): | а Винда не дырявая, ващеее , привыкли всё отечественное обсирать |
Мы не привыкли, просто отечественное оно само такое. У меня только вопрос, а вот эти люди которые кричат это все норма, это нормально, макс хороший они реальны, что правда такие тупые существуют? Интересно, а они повзраслеют когда нибудь и научатся без взрослого родителя их ограничивающего и контролирующего жить и принимать самостоятельные решения и сами смогут думать без того что государство вложит им в голову или это на всю жизнь у них чтобы прям за ручку водили и выбирали что думать и как делать? Напоминает детский садик где всю группу ведут на горшки и дети радостно кричат. |
Взросление - это когда ты начинаешь понимать, как работают IT-технологии и мировая кибербезопасность, а не когда просто кричишь «всё отечественное - дно!», считая себя при этом невероятно уникальным и независимым мыслителем. Люди которые кричат, что это норма, просто знают, что такое Bug Bounty. Они знают, что Гугл, Эппл и ТГ платят хакерам миллионы за поиск дыр в их коде. Это стандарт индустрии. А вот твоя реакция, как раз очень напоминает тот самый детский сад. Не разбираешься в теме, но ты начал топать ножкой и обзывать тех, кто понимает процесс больше твоего! Считать себя свободным, просто потому что ты отдал свои данные зарубежным корпорациям, а не местной, вот это настоящий инфантилизм. Для справки, для детей которые застряли в 90. Nginx, Яндекс, Касерский, Финтех(лучшие в мире!!!) - Это всё тоже "само такое"? Это слепая предубежденность к любому локальному продукту, признак инфантилизма, а не критического мышления. Типичное шаблонное мышление, которое вам детям вложили в голову. В первую очередь те, кому не выгоден МАХ. А вы и рады, ведь это подтверждают ваше шаблонное мышление, за рамки которого вы не хотите выходить. Взрослые люди понимают правила игры в современном цифровом мире, а дети радостно кричат на горшках, что они спрятались от злого воспитателя, закрыв глаза ладошками. |
|
|
|
|
|
|
|
