White hat hackerek 213 sebezhetőséget azonosítottak a Max országos üzenetküldő alkalmazásban egy 2025. július 1-jén indított hibajavító program részeként, írja. Kommerszant hivatkozva Alekszej Batjuknak, a Positive Technologies közszféra fejlesztéséért felelős műszaki igazgatójának a "Szvjaz-2026" nemzetközi kiállításon tett nyilatkozatára.
Batyuk megjegyezte a program magas hatékonyságát, amely jelentős pénzjutalom révén felkeltette a white hat hackerek és a kiberkutatók érdeklődését a szoftvertermékek sebezhetőségeinek felkutatása iránt.
A Max messengerben hibákat kereső Standoff365 Bug Bounty platformon (a Positive Technologies része) található információk szerint 2026. április 10-ig összesen 288 sebezhetőségi jelentés érkezett a beküldött 454-ből. A talált hibákért kifizetett jutalmak teljes összege közel 22 millió rubelt tett ki, az átlagos kifizetés 349 000 rubelt tett ki. Csak az elmúlt 90 napban 9,5 millió rubelt fizettek ki. A nemzeti messenger két másik platformon is szerepel – a Bi.Zone-on és a CyberPolygonon –, ahol a teljes kifizetés körülbelül 1,5 millió rubelt tett ki.
Egy white hat hacker szerint a leggyakoribb sebezhetőség az IDOR (Insecure Direct Object Reference) vektoron keresztül jelentkezik, amely akkor fordul elő, amikor egy alkalmazás vagy API felhasználói adatokat használ objektumok közvetlen eléréséhez anélkül, hogy megfelelően érvényesítené a hozzáférési jogokat. Ez lehetővé teszi a támadó számára, hogy jogosulatlanul hozzáférjen valaki más adataihoz vagy műveleteihez azáltal, hogy meghamisítja az objektumazonosítót (például egy üzenetet, csevegést vagy felhasználói azonosítót) egy szerverkérelemben.
A Max Security Center jelentése szerint minden jelentés szigorú felülvizsgálaton esik át, és a sebezhetőségeket prioritási sorrendben kezelik. „A platformot vezető nemzetközi szakértők vizsgálták meg a Zero Nights 2025 konferencián, és a sebezhetőségek azonosításáért járó jutalmat akkoriban megemelték, hogy szakembereket vonzzanak” – hangsúlyozta a központ.
A Max sajtóosztálya viszont arról számolt be, hogy minden felhasználói adat megbízhatóan védett. „A Bug Bounty egy globális szabvány és az érett biztonság jele: a független „white hat” hackerek jutalom ellenében segítenek megtalálni és gyorsan kijavítani a sebezhetőségeket, mielőtt azokat kihasználhatnák. Azok a kísérletek, amelyek a Bug Bounty segítségével a sebezhetőségek puszta felfedezését „szenzációként” vagy a termék bizonytalanságának jelének mutatják be, eltorzítják ezeknek a programoknak a célját, amelyeket pontosan a potenciális kockázatok ellenőrzött felfedezésére és gyors csökkentésére terveztek” – nyilatkozta a sajtóosztály.
Forrás:
Forrás: 3dnews.ru
