Мессенджер Max за неполный год существования программы Bug Bounty собрал 213 подтверждённых уязвимостей, а исследователи заработали на их поиске почти 22 млн рублей. Об этом на выставке «Связь-2026» рассказал Алексей Батюк, технический директор Positive Technologies по развитию государственного сектора. Программу запустили летом 2025 года, и специалисты по кибербезопасности быстро взялись за работу.
Отчёты поступают через платформу Standoff365, и к апрелю 2026 года их набралось 454 штуки, из которых проверку прошли 288. Среднее вознаграждение за одну найденную уязвимость составило около 349 тыс. рублей, а только за последние 90 дней исследователи получили 9,5 млн рублей. Ещё около 1,5 млн рублей выплатили через площадки Bi.Zone и «Киберполигон», где проект тоже представлен.
Алексей Батюк отметил в разговоре с «Коммерсантом», что подобные программы заметно разогревают интерес исследовательского сообщества к продукту и помогают быстрее находить слабые места, чем это происходит при внутреннем тестировании.
Самым популярным способом найти проблему оказалась уязвимость типа IDOR. Один из участников программы пояснил, что она возникает там, где система позволяет обращаться к объектам напрямую через идентификаторы без нормальной проверки прав доступа. Простая подмена ID в запросе способна открыть чужие сообщения, чаты или профили, и именно это делает такой вектор атаки одним из наиболее опасных при неаккуратной реализации.
В Центре безопасности Max сообщили, что каждый найденный баг проходит детальную проверку, после чего исправления вносятся в приоритетном порядке. Там же напомнили, что сервис уже проходил аудит на конференции Zero Nights 2025, где внимание международных специалистов привело к увеличению выплат за обнаруженные проблемы.
Представители Max добавили, что публикация данных о найденных уязвимостях говорит не о слабости системы, а о зрелости подхода к безопасности. По их словам, привлечение независимых исследователей позволяет выявлять потенциальные проблемы раньше, чем до них доберутся злоумышленники, и держать продукт под постоянным внешним контролем.