국가 메신저 맥스의 버그 바운티 프로그램은 2025년 7월 시작되어 계량 가능한 결과를 도출했습니다. Standoff365 데이터에 따르면, 454건의 보고서가 접수되었으며, 이 중 288건이 수용되어 213개의 취약점이 확인되었습니다. 연구자들에게 지급된 총 보상금은 2,190만 루블을 초과하며, 평균 보상금은 약 34만 9천 루블에 가깝습니다. 전문가들은 이 프로그램이 플랫폼 보안 강화에 유용한 이니셔티브라고 지적합니다.
IDOR와 부적절한 접근의 우세 🕵️
발견 사항에서 가장 반복적으로 나타난 취약점은 IDOR, 즉 안전하지 않은 직접 객체 참조였습니다. 이 결함은 사용자가 요청의 식별자를 조작하는 것만으로 자신에게 속하지 않은 메시지나 프로필과 같은 데이터 객체에 접근할 수 있게 합니다. 그 빈도는 백엔드 권한 검증 개선이 필요한 영역을 나타냅니다. 맥스는 또한 두 개의 다른 보상 플랫폼에 참여하여 코드에 대한 검토 범위를 확대하고 있습니다.
버그 헌터와 그들의 새로운 '원격 근무' 💰
맥스에서 결함을 찾는 것이 상당히 수익성 있는 원격 근무 형태가 된 것 같습니다. 일부 지역의 평균 급여를 초과할 수 있는 보상금을 고려할 때, 윤리적 해커들이 스티커를 찾는 사용자보다 더 열심히 앱의 구석구석을 살펴보는 것은 놀라운 일이 아닙니다. 다음에 연락처가 당신의 마지막 메시지를 읽음으로 표시할 때, 그것은 그 사람이 아닌 IDOR를 테스트하는 보안 연구원일지도 모릅니다. 보상을 위한 모든 것입니다.