Белые хакеры сдали сотни отчетов о «дырах» в мессенджере Max

Белые хакеры сдали сотни отчетов об уязвимостях в новой платформе. Разбираемся, как число ошибок отражает реальное качество продукта и как эти показатели выглядят на фоне мировых коммуникационных гигантов.

Масштабное тестирование национального мессенджера Max независимыми исследователями обнажило сотни уязвимостей, вызвав в ИТ-сообществе резонансные обсуждения о надежности системы.

По данным директора по развитию бизнеса безопасной разработки Positive Technologies Алексея Антонова, озвученным на профильной выставке «Связь-2026», киберспециалисты сдали более двухсот репортов об ошибках. При детальном анализе статистики платформы Bug Bounty Standoff365 цифры оказываются еще более впечатляющими: из 454 заявленных отчетов администрация продукта признала валидными и приняла в работу 288. За поиск этих уязвимостей разработчики уже выплатили белым хакерам почти 23,5 миллиона рублей.

Самым популярным вектором атаки оказался IDOR — архитектурная уязвимость, позволяющая злоумышленнику подменить системный идентификатор в запросе и гипотетически получить доступ к чужим перепискам.

Для рядового пользователя новость о сотнях найденных «дыр» звучит тревожно, создавая образ сырого и недоработанного программного обеспечения. В профессиональной индустрии кибербезопасности эти метрики интерпретируются совершенно иначе. Любой современный цифровой продукт состоит из сотен тысяч, а иногда и миллионов строк сложного кода, написанных огромными командами программистов. Ошибки и логические нестыковки в такой многоуровневой архитектуре абсолютно неизбежны. Если в программе не находят баги, это означает лишь одно: продукт никто всерьез не исследовал, либо назначенное вознаграждение настолько мало, что профильным специалистам выгоднее продать информацию об уязвимости на теневом рынке. Рекордное число обнаруженных багов в Max говорит не о низком качестве кода, а о крайне высокой мотивации исследователей и готовности самой компании щедро платить за реальную, а не бумажную безопасность. Программа вознаграждений работает как непрерывный стресс-тест: чем больше уязвимостей найдено и закрыто на этапе публичного аудита, тем сложнее, дороже и бессмысленнее будет реальная хакерская атака.

Практика привлечения независимых аудиторов за серьезные гонорары давно стала золотым стандартом технологического рынка. Мировые корпорации ежегодно выплачивают десятки миллионов долларов за поиск критических багов в своих флагманских продуктах.

Анализ истории уязвимостей в популярных приложениях наглядно показывает, что от критических ошибок в архитектуре не застрахован ни один ИТ-гигант, независимо от размера бюджета и уровня команды разработки. Настоящая разница между надежным и уязвимым цифровым сервисом заключается в скорости реакции на найденные проблемы и прозрачности работы с независимым техническим сообществом. Команда безопасности Max официально заявляет о приоритетном устранении всех найденных брешей и строгой верификации каждого хакерского отчета. Подобная модель поведения демонстрирует зрелый и современный подход к защите информации, где безопасность строится не на попытках скрыть проблемы от общественности, а на их агрессивном поиске и моментальной ликвидации до того, как ими воспользуются преступники.

Оперативно следить за подобными инцидентами на рынке кибербезопасности и первыми узнавать о новых технологических трендах помогает телеграм-канал Digital Report.