El programa Bug Bounty del mensajero nacional Max, iniciado en julio de 2025, ha arrojado resultados cuantificables. Según datos de Standoff365, se recibieron 454 reportes, de los cuales 288 fueron aceptados, identificando 213 vulnerabilidades. Los pagos totales a investigadores superan los 21.9 millones de rublos, con una recompensa media cercana a los 349 mil rublos. Expertos señalan la utilidad de esta iniciativa para fortalecer la seguridad de la plataforma.
La predominancia de IDOR y el acceso indebido 🕵️
La vulnerabilidad más repetida en los hallazgos fue IDOR, o Insecure Direct Object Reference. Este fallo permite a un usuario acceder a objetos de datos, como mensajes o perfiles, que no le pertenecen, simplemente manipulando identificadores en la petición. Su frecuencia indica un área de mejora en las validaciones de autorización del backend. Max también participa en otras dos plataformas de recompensas, ampliando el escrutinio sobre su código.
Los cazadores de fallos y su nuevo 'trabajo remoto' 💰
Parece que encontrar agujeros en Max se ha convertido en una forma de teletrabajo bastante lucrativa. Con pagos que podrían superar el salario medio en algunas regiones, no es extraño que los hackers éticos revisen cada rincón de la app con más dedicación que un usuario buscando un sticker. La próxima vez que un contacto vea tu último mensaje visto, quizás no sea él, sino un investigador de seguridad probando un IDOR. Todo sea por una recompensa.