<p>В национальном мессенджере MAX, которым пользуются более 107 миллионов россиян, обнаружено свыше 200 уязвимостей — включая критическую брешь класса IDOR, позволяющую получать доступ к чужим сообщениям, фотографиям и файлам без взлома аккаунта. Об этом сообщил «Коммерсантъ» со ссылкой на данные программы Bug Bounty, которую VK проводит совместно с Positive Technologies на платформе Standoff365. Представитель компании огласил цифры на выставке «Связь-2026»: с июля 2025 года по 10 апреля 2026 года исследователи подали 454 отчёта, из которых 288 признаны валидными. Общая сумма выплат белым хакерам составила около 22–23,5 миллиона рублей.</p><p>IDOR — Insecure Direct Object Reference — один из наиболее опасных классов уязвимостей в веб-приложениях и мессенджерах. Механизм атаки прост: злоумышленник подменяет идентификатор объекта в запросе к серверу — например, меняет ID сообщения или чата на чужой — и сервер выдаёт данные без проверки прав доступа. Никакого взлома аккаунта, никакого перехвата трафика, никаких сложных технических манипуляций не требуется. Достаточно знать или подобрать чужой идентификатор — и личная переписка, фотографии из закрытых чатов и загруженные файлы становятся доступны постороннему человеку. Именно поэтому IDOR признан критической уязвимостью: порог входа для атаки минимален, а ущерб потенциально огромен.</p><p>Особую остроту ситуации придаёт предыстория. Специалисты MAX неоднократно публично отрицали наличие серьёзных проблем с безопасностью. В марте 2026 года центр безопасности мессенджера опроверг публикацию о поддержке криминалистическим программным обеспечением извлечения данных пользователей, назвав её фейком. Ранее, в январе 2026 года, MAX отверг сообщения о взломе и утечке данных — хакер, которому приписывали атаку, сам опроверг эту информацию. Параллельно в сети распространялось заключение о критических уязвимостях мессенджера, которое VK также квалифицировал как подделку. Теперь выясняется, что проблемы с безопасностью существовали — и были достаточно серьёзными, чтобы потребовать выплаты 22 миллионов рублей исследователям.</p><p>Контекст делает ситуацию особенно болезненной. MAX активно продвигается государством как безопасная альтернатива иностранным мессенджерам: с сентября 2026 года планируется перевести через него банковские уведомления для клиентов всех банков, приложение обязательно предустанавливается на все новые устройства, госорганы и учебные заведения переведены на него в принудительном порядке. Минцифры рассматривает MAX как инфраструктурный элемент цифрового суверенитета. На этом фоне критическая уязвимость, позволяющая читать чужую переписку, — не просто технический баг, а системная проблема доверия к платформе.</p><p>Эксперты по кибербезопасности давно предупреждали о рисках. Независимые исследователи указывали на отсутствие сквозного шифрования в обычных чатах MAX — в отличие от Telegram, где секретные чаты защищены end-to-end шифрованием. После замедления Telegram в феврале 2026 года в даркнете резко вырос спрос на «угон» аккаунтов MAX. Мошенники начали рассылать вредоносные файлы под видом фотографий и видео через мессенджер, эксплуатируя неопытность новой аудитории. Теперь к этим угрозам добавилась архитектурная уязвимость, которую невозможно устранить простым обновлением приложения — IDOR требует переработки серверной логики.</p><p>Разработчики MAX, судя по всему, осознают масштаб проблемы: именно поэтому была запущена программа Bug Bounty с выплатами до 5 миллионов рублей за критические уязвимости. Привлечение белых хакеров — правильная практика, принятая во всей индустрии. Однако разрыв между публичными заверениями в безопасности и реальным количеством найденных брешей — 288 подтверждённых уязвимостей за девять месяцев — ставит под сомнение обоснованность этих заверений. Мессенджер, которому государство доверяет банковские уведомления и персональные данные 107 миллионов граждан, оказался значительно менее защищённым, чем декларировалось.</p>
|
