2025年7月に開始された国産メッセンジャーMaxのバグバウンティプログラムは、定量化可能な成果を上げています。Standoff365のデータによると、454件の報告が寄せられ、そのうち288件が受理され、213件の脆弱性が特定されました。研究者への総支払額は2190万ルーブルを超え、平均報酬は約34万9千ルーブルに近づいています。専門家は、この取り組みがプラットフォームのセキュリティ強化に有用であると指摘しています。
IDORと不正アクセスの優勢 🕵️
発見された脆弱性の中で最も繰り返し見られたのはIDOR、すなわちInsecure Direct Object Referenceでした。この欠陥により、ユーザーはリクエスト内の識別子を操作するだけで、自分に属していないメッセージやプロフィールなどのデータオブジェクトにアクセスすることが可能になります。その頻度は、バックエンドの認可検証における改善領域を示しています。Maxは他の2つの報奨金プラットフォームにも参加しており、自社のコードに対する監視の目を広げています。
バグハンターと彼らの新しい「リモートワーク」 💰
Maxの穴を見つけることは、かなり収益性の高いテレワークの一形態となったようです。一部の地域の平均給与を上回る可能性のある報酬を考えると、倫理的ハッカーがステッカーを探すユーザーよりも熱心にアプリの隅々まで調べるのも不思議ではありません。次に連絡先があなたの最後のメッセージを既読にしたとき、それは彼ではなく、IDORをテストしているセキュリティ研究者かもしれません。すべては報奨金のためです。