Home  >  Безопасность / Коротко / Общение

Уязвимости в мессенджере MAX

aside

Published date

С момента запуска программы Bug Bounty в июле 2025 года в системе накопилось уже 454 отчёта, из которых признаны валидными 288. Это не просто «рабочий процесс», а показатель того, что продукт изначально вышел на рынок с большим количеством недоработок. Когда речь идёт о мессенджере, который потенциально обрабатывает чувствительные данные пользователей, такие цифры выглядят тревожно.

Особенно настораживает тот факт, что значительная часть уязвимостей связана с IDOR — одной из базовых и хорошо известных проблем в веб-безопасности. Такие ошибки часто свидетельствуют не о сложных архитектурных просчётах, а о недостаточной проработке логики доступа на уровне разработки. Проще говоря, это не «тонкие баги», а фундаментальные недочёты.

Представители компании пытаются подать ситуацию как нормальную практику: мол, Bug Bounty — это стандарт индустрии. Формально это так. Но есть нюанс: количество и характер найденных уязвимостей тоже имеют значение. Когда счёт идёт на сотни, это уже не просто «поиск редких проблем», а массовая зачистка слабых мест в продукте.

Отдельный вопрос вызывает и коммуникация вокруг ситуации. Пользователям фактически предлагают воспринимать новости об уязвимостях как признак надёжности. Однако для конечного пользователя важен не процесс, а результат — насколько безопасен сервис здесь и сейчас. А текущие цифры скорее подрывают доверие, чем укрепляют его.

Да, уязвимости, по заявлениям разработчиков, оперативно исправляются. Но остаётся главный вопрос: сколько из них могли быть использованы до исправления? И сколько ещё не обнаружено?

В итоге складывается парадоксальная картина. С одной стороны — громкие заявления о безопасности и «лучших международных экспертах». С другой — сотни найденных проблем, включая базовые. И это уже не похоже на маркетинг зрелого продукта, а скорее на попытку догнать безопасность постфактум.

Ссылки:

  1. Хабр: Белые хакеры подали более 200 отчетов об уязвимостях в Мах
  2. Коммерсантъ: Белые хакеры подали более 200 отчетов об уязвимостях в Мах
  3. enep-home.ru: Злоумышлини осваивают мессенджер MAX:Вирус Мамонт
  4. enep-home.ru: «MAX» опасен?
  5. Pikabu: Мессенджер MAX безопасен, но… смотря для каких задач!

Поделиться ссылкой:

Tags:

Related Posts