Вокруг мессенджера MAX вновь разгорелась дискуссия о защите пользовательских данных. По информации газеты «Коммерсантъ», ссылающейся на участников bug bounty-программы, специалисты по кибербезопасности уже направили свыше 200 отчетов о найденных уязвимостях.
Одной из наиболее распространённых проблем называют IDOR — тип уязвимости, при котором злоумышленник может получить доступ к чужой информации, изменяя параметры запросов к серверу. По словам источников, подобные ошибки потенциально способны открыть доступ к личной переписке, чатам и пользовательским файлам.
Косвенное подтверждение этому можно найти в описании bug bounty-программы на платформе Standoff365. Среди возможных сценариев прямо указаны риски несанкционированного доступа к личным сообщениям, пользовательскому контенту и даже утечки защищённых данных через серверные уязвимости.
Программа поиска уязвимостей стартовала 1 июля 2025 года. К 10 апреля 2026 года исследователи отправили 457 отчетов, из которых 288 были признаны валидными. Общая сумма вознаграждений достигла почти 22 миллионов рублей — это свидетельствует о масштабной и непрерывной работе по выявлению слабых мест сервиса.
Представители MAX, однако, не согласны с трактовкой ситуации как критической проблемы безопасности. В компании подчеркивают, что bug bounty-программы предназначены именно для контролируемого поиска и устранения уязвимостей. Эту точку зрения поддерживают и эксперты отрасли, включая специалистов Positive Technologies.
Стоит отметить, что вопросы безопасности MAX обсуждаются уже не первый месяц. В начале марта появилась информация о том, что изображения из личных чатов веб-версии можно было открыть по прямой ссылке без авторизации. Более того, ссылки некоторое время оставались рабочими даже после удаления файлов.
Тогда представители сервиса заявили, что доступ к личным данным строго ограничен, а ссылки невозможно подобрать. Однако уже вскоре появились сообщения о найденном в открытом доступе контенте и уязвимостях, связанных с хранением изображений.
На данный момент подтверждено одно: в MAX действительно ведётся активный поиск уязвимостей, включая сценарии доступа к чужим данным. При этом публичных технических доказательств, демонстрирующих возможность чтения чужой переписки в актуальной версии сервиса, пока не представлено.