МАХ оказался уязвим! И…

Белые хакеры нашли 213 уязвимостей в МАХ и получили за это почти 22 миллиона рублей.

Киберспециалисты, участвующие в программе Bug Bounty национального мессенджера МАХ, сдали 213 отчетов об уязвимостях.

Об этом на выставке «Связь-2026» рассказал технический директор Positive Technologies по развитию государственного сектора Алексей Батюк.

Программа Bug Bounty – это мировой стандарт, при котором независимые специалисты за вознаграждение помогают компаниям находить и устранять уязвимости до того, как ими воспользуются злоумышленники. МАХ запустил её 1 июля 2025 года.

По данным на 10 апреля 2026 года, на платформе Standoff365 (входит в Positive Technologies) всего принято 288 отчетов из 454 сданных.

Общая сумма выплат белым хакерам составила почти 22 миллиона рублей при средней выплате 349 тысяч рублей.

За последние 90 дней специалистам перечислили 9,5 миллиона. Кроме того, МАХ представлен на платформах Bi.Zone и «Киберполигон», где в сумме выплачено около 1,5 миллиона рублей.

Один из участников программы рассказал «Коммерсанту», что чаще всего уязвимости находят по вектору IDOR (Insecure Direct Object Reference) это позволяет злоумышленнику получить несанкционированный доступ к чужим данным, подменяя идентификатор объекта в запросе к серверу.

В Центре безопасности МАХ заявили, что каждый отчет проходит строгую проверку, а уязвимости устраняются в приоритетном порядке.

Платформу исследовали лучшие международные эксперты на конференции Zero Nights 2025, тогда же для привлечения специалистов повысили вознаграждение.

В пресс-службе мессенджера подчеркнули, что Bug Bounty – это признак зрелой безопасности, а не её отсутствия.

«Попытки подать сам факт обнаружения уязвимостей в рамках Bug Bounty как „сенсацию“ и признак небезопасности продукта искажают смысл этих программ, которые как раз и создаются для контролируемого поиска и оперативного устранения потенциальных рисков», – заявили в МАХ.

Соб. инф.