O programa Bug Bounty do mensageiro nacional Max, iniciado em julho de 2025, apresentou resultados quantificáveis. Segundo dados da Standoff365, foram recebidos 454 relatórios, dos quais 288 foram aceitos, identificando 213 vulnerabilidades. Os pagamentos totais aos pesquisadores ultrapassam 21,9 milhões de rublos, com uma recompensa média próxima de 349 mil rublos. Especialistas destacam a utilidade desta iniciativa para fortalecer a segurança da plataforma.
A predominância de IDOR e o acesso indevido 🕵️
A vulnerabilidade mais repetida nas descobertas foi IDOR, ou Insecure Direct Object Reference. Esta falha permite que um usuário acesse objetos de dados, como mensagens ou perfis, que não lhe pertencem, simplesmente manipulando identificadores na requisição. Sua frequência indica uma área de melhoria nas validações de autorização do backend. O Max também participa de outras duas plataformas de recompensas, ampliando o escrutínio sobre seu código.
Os caçadores de falhas e seu novo 'trabalho remoto' 💰
Parece que encontrar brechas no Max se tornou uma forma de teletrabalho bastante lucrativa. Com pagamentos que poderiam superar o salário médio em algumas regiões, não é estranho que os hackers éticos revisem cada canto do app com mais dedicação do que um usuário procurando por um adesivo. Da próxima vez que um contato vir sua última mensagem vista, talvez não seja ele, mas um pesquisador de segurança testando um IDOR. Tudo por uma recompensa.