Das Bug-Bounty-Programm des nationalen Messengers Max, das im Juli 2025 gestartet wurde, hat quantifizierbare Ergebnisse geliefert. Laut Daten von Standoff365 wurden 454 Meldungen eingereicht, von denen 288 angenommen wurden, was 213 Schwachstellen identifizierte. Die Gesamtzahlungen an Forscher übersteigen 21,9 Millionen Rubel, mit einer durchschnittlichen Belohnung von knapp 349.000 Rubel. Experten weisen auf den Nutzen dieser Initiative zur Stärkung der Plattformsicherheit hin.
Die Dominanz von IDOR und unbefugtem Zugriff 🕵️
Die am häufigsten wiederkehrende Schwachstelle in den Funden war IDOR, oder Insecure Direct Object Reference. Dieser Fehler ermöglicht es einem Benutzer, auf Datenobjekte wie Nachrichten oder Profile zuzugreifen, die ihm nicht gehören, einfach durch Manipulation von Identifikatoren in der Anfrage. Ihre Häufigkeit deutet auf einen Verbesserungsbereich bei den Autorisierungsvalidierungen im Backend hin. Max ist auch an zwei weiteren Belohnungsplattformen beteiligt, was die Prüfung seines Codes erweitert.
Die Fehlerjäger und ihre neue 'Remote-Arbeit' 💰
Es scheint, dass das Finden von Lücken in Max zu einer ziemlich lukrativen Form des Telearbeitens geworden ist. Mit Zahlungen, die das Durchschnittsgehalt in einigen Regionen übersteigen könnten, ist es nicht verwunderlich, dass ethische Hacker jede Ecke der App mit mehr Hingabe durchforsten als ein Nutzer, der nach einem Sticker sucht. Das nächste Mal, wenn ein Kontakt deine letzte Nachricht als gesehen markiert, ist es vielleicht nicht er, sondern ein Sicherheitsforscher, der einen IDOR testet. Alles für eine Belohnung.