Il programma Bug Bounty del messaggero nazionale Max, avviato a luglio 2025, ha prodotto risultati quantificabili. Secondo i dati di Standoff365, sono stati ricevuti 454 report, di cui 288 sono stati accettati, identificando 213 vulnerabilità. I pagamenti totali ai ricercatori superano i 21,9 milioni di rubli, con una ricompensa media vicina ai 349 mila rubli. Gli esperti sottolineano l'utilità di questa iniziativa per rafforzare la sicurezza della piattaforma.
La predominanza di IDOR e l'accesso indebito 🕵️
La vulnerabilità più ripetuta nei ritrovamenti è stata IDOR, o Insecure Direct Object Reference. Questo difetto permette a un utente di accedere a oggetti di dati, come messaggi o profili, che non gli appartengono, semplicemente manipolando identificatori nella richiesta. La sua frequenza indica un'area di miglioramento nelle validazioni di autorizzazione del backend. Max partecipa anche ad altre due piattaforme di ricompense, ampliando lo scrutinio sul suo codice.
I cacciatori di bug e il loro nuovo 'lavoro da remoto' 💰
Sembra che trovare buchi in Max sia diventata una forma di telelavoro piuttosto lucrativa. Con pagamenti che potrebbero superare lo stipendio medio in alcune regioni, non è strano che gli hacker etici controllino ogni angolo dell'app con più dedizione di un utente che cerca un adesivo. La prossima volta che un contatto vedrà il tuo ultimo messaggio visto, forse non sarà lui, ma un ricercatore di sicurezza che sta testando un IDOR. Tutto per una ricompensa.