국가적 메신저 Max의 버그 바운티 프로그램은 2025년 7월 시작되어 계량 가능한 결과를 도출했습니다. Standoff365의 데이터에 따르면, 454건의 보고서가 접수되었으며, 이 중 288건이 수용되어 213개의 취약점이 확인되었습니다. 연구자들에게 지급된 총 보상금은 2,190만 루블을 초과하며, 평균 보상금은 약 34만 9천 루블에 가깝습니다. 전문가들은 이 플랫폼의 보안 강화를 위한 이 계획의 유용성을 지적합니다.
IDOR와 부적절한 접근의 우세 🕵️
발견 사항에서 가장 반복적으로 나타난 취약점은 IDOR, 즉 Insecure Direct Object Reference였습니다. 이 결함은 사용자가 요청의 식별자를 조작함으로써 자신에게 속하지 않은 메시지나 프로필과 같은 데이터 객체에 접근할 수 있게 합니다. 그 빈도는 백엔드 권한 검증에서 개선이 필요한 영역을 나타냅니다. Max는 또한 다른 두 개의 보상 플랫폼에 참여하여 자체 코드에 대한 검토 범위를 확대하고 있습니다.
버그 헌터와 그들의 새로운 '원격 근무' 💰
Max에서 결함을 찾는 것이 상당히 수익성 있는 원격 근무 형태가 된 것 같습니다. 일부 지역의 평균 급여를 초과할 수 있는 보상금을 고려할 때, 윤리적 해커들이 스티커를 찾는 사용자보다 더 열심히 앱의 구석구석을 살펴보는 것은 놀라운 일이 아닙니다. 다음에 연락처가 당신의 마지막 메시지를 읽음으로 표시할 때, 그것은 그 사람이 아닌 IDOR를 테스트하는 보안 연구원일지도 모릅니다. 모두 보상을 위한 것입니다.