Купон на скидку: 2026
Белые хакеры подтвердили https://www.kommersant.ru/doc/8586537 возможность несанкционированного доступа к чужим данным в мессенджере Max и передали всю информацию разработчикам.
Ранее пользователь Pikabu https://t.me/prohitec/11688 обратил внимание, что в Max можно получить доступ к чужим файлам из личных чатов по ссылке. Тогда представители Max заявили https://tass.ru/ekonomika/26794927 , что длинного ключа, который невозможно подобрать даже с помощью доквантовых технологий, достаточно для защиты пользовательских данных. Однако, как показала практика, белым хакерам всё же удалось обойти эту защиту. Сейчас появляются сообщения от пользователей о том, что им приходят чужие уведомления или даже файлы, предназначенные другим людям, но подтвердить или опровергнуть эти случаи мы пока не можем. Всего белые хакеры обнаружили 213 уязвимостей и получили за это почти 22 миллиона рублей, при средней выплате от разработчиков в 349 тысяч рублей.
Ранее мы рекомендовали разработчикам Max внедрить в мессенджер проверку наличия cookie, подтверждающего авторизацию пользователя, который пытается открыть файл через Max, а также усилить шифрование трафика. Наш контакт во ВКонтакте сообщил тогда, что информация передана разработчикам, но ответа мы так и не получили. Хочется верить, что после проведения Bug Bounty безопасность национального мессенджера, который изначально создавался «не для замены иностранных мессенджеров https://www.kommersant.ru/doc/7909251 «, действительно будет усилена. Причём желательно сразу до стандартов постквантовой эпохи.
Дополнено 10.04.2026: ТАСС (https://tass.ru/ekonomika/27072103) сообщает, что данные пользователей национального мессенджера Max находятся под надёжной защитой, а сообщения об уязвимостях — фейковые. Об этом ТАСС рассказали в Центре безопасности Max.
«Речь идёт об отчетах в рамках программы Bug Bounty. Все данные пользователей Max надёжно защищены. … Попытки представить сам факт обнаружения уязвимостей в рамках Bug Bounty как «сенсацию» и признак небезопасности продукта искажают суть этих программ, которые как раз и созданы для контролируемого поиска и быстрого устранения потенциальных рисков.»