Программа Bug Bounty национального мессенджера Max, запущенная в июле 2025 года, принесла измеримые результаты. Согласно данным Standoff365, было получено 454 отчета, из которых 288 были приняты, выявив 213 уязвимостей. Общие выплаты исследователям превысили 21,9 миллиона рублей, при средней награде около 349 тысяч рублей. Эксперты отмечают полезность этой инициативы для укрепления безопасности платформы.
Преобладание IDOR и несанкционированный доступ 🕵️
Наиболее часто повторяющейся уязвимостью в находках была IDOR, или Insecure Direct Object Reference (Небезопасная прямая ссылка на объект). Этот недостаток позволяет пользователю получать доступ к объектам данных, таким как сообщения или профили, которые ему не принадлежат, просто манипулируя идентификаторами в запросе. Его частота указывает на область для улучшения в проверках авторизации на стороне сервера. Max также участвует в двух других платформах вознаграждений, расширяя проверку своего кода.
Охотники за багами и их новая «удаленная работа» 💰
Похоже, поиск дыр в Max стал довольно прибыльной формой удаленной работы. С выплатами, которые могут превышать среднюю зарплату в некоторых регионах, неудивительно, что этичные хакеры проверяют каждый уголок приложения с большим усердием, чем пользователь, ищущий стикер. В следующий раз, когда контакт увидит ваше последнее сообщение как прочитанное, возможно, это будет не он, а исследователь безопасности, тестирующий IDOR. Все ради вознаграждения.