«Белые хакеры» в рамках программы Bug Bounty обнаружили 213 уязвимостей в мессенджере Max, заявил директор Positive Technologies по развитию государственного сектора Алексей Батюк на форуме «Связь-2026».

Его слова передает «Коммерсантъ».

Bug Bounty — это программа, в ходе которой «белые хакеры» за вознаграждение ищут уязвимости в программах или сайтах. Размер выплат варьируется в зависимости от того, насколько критичен и масштабен обнаруженный недочет в кибербезопасности. Как сообщил Батюк, данная система достаточно эффективна, так как хакеры экономически мотивированы находить уязвимости. По его словам, в Max на данный момент их было обнаружено 213.

При этом, как сообщает «Коммерсантъ» со ссылкой на данные на платформе Bug Bounty Standoff365, к настоящему моменту было принято уже 288 отчетов об уязвимостях.

Как сообщил изданию один из хакеров, наиболее частая для мессенджера уязвимость — IDOR (Insecure Direct Object Reference), которая ошибочно предоставляет злоумышленнику доступ к данным пользователя.

Вообще еще в августе прошлого года появилась информация, что ФСБ выдвигает претензии относительно защищенности мессенджера. Max был недостаточно безопасен для подключения к инфраструктуре Единой системы идентификации и аутентификации (ЕСИА). То есть, если связать свой профиль в приложении с «Госуслугами», под удар попадут все данные пользователя.

Однако зампред комитета Госдумы по информационной политике Антон Горелкин опроверг инсайды и уточнил, что все недочеты были устранены «еще два месяца назад». Позже журналист Мария Коломыченко оспорила утверждение, сославшись на то, что разработка мер безопасности только в процессе.

Но мы же знаем, что Горелкин не может врать. Посмотрите в эти честные глаза человека с хорошим лицом:

Родился в семье педагогов, окончил университет по специальности «журналистика» — этот человек точно понимает в софте для коммуникаций и в кибербезопасности. Можете верить — он не подведёт.

Positive Technologies — российская компания, специализирующаяся на разработке решений в сфере информационной безопасности. Основана в 2002 году. Акции котируются на Московской бирже (MOEX: POSI). Основная задача компании — выявлять и предотвращать кибератаки до того, как они причинят неприемлемый ущерб бизнесу и целым отраслям экономики.

Некоторые продукты Positive Technologies:

MaxPatrol SIEM — мониторинг инфраструктуры;
MaxPatrol VM — управление уязвимостями и комплаенс-контроль;
MaxPatrol Endpoint Security — комплексная защита конечных устройств;
PT NGFW — защита периметра и макро-/микросегментация;
PT Network Attack Discovery — мониторинг внутренней сети;
PT Sandbox — защита от вредоносного ПО;
PT Application Firewall — защита веб-приложений;
PT Application Inspector — анализ защищённости приложений.

Да не, Горелкин явно авторитетнее. Настоящий специалист. В конце 2025 года Антон Горелкин намекнул на блокировку сервисов Google уже в 2026-м. И предлагал блокировать Steam и Википедию. Затем, внезапно, Горелкин обнаружил, что никаких указаний на блокировку Steam и иных сервисов заявление Гореславского (это директор Института развития интернета) не содержит — и он просто его «не так понял». Оказывается, Steam соблюдает российские законы и не раз удалял противоправный контент по требованию Роскомнадзора.