denis-196 авг 2025 в 12:35

За первый месяц по программе поиска уязвимостей (Bug Bounty) в мессенджере Мax выплачено 7,8 млн рублей за 79 отчётов

2 мин

12K

Информационная безопасность * Мессенджеры * Тестирование IT-систем * Тестирование веб-сервисов * Тестирование мобильных приложений *

+11

Комментарии 13

Vladimir_III 6 авг 2025 в 15:41

Зачем вы им помогаете...

CryCrown 6 авг 2025 в 15:58

Искатели багов, пока мессенджер существует, у вас есть все шансы стать миллионерами.

KirillHotcat 6 авг 2025 в 15:58

Помимо денег, команда ВКонтакле попросила не сообщать больше об этих специально встроенных бекдорах ;)

fivlabor 6 авг 2025 в 20:19

79 дыр в безопасности для мессенджера с потенциальным доступом в госуслуги это как-то тревожно 😬 и это только за месяц, а кто-то веб заведомо не публиковал

Хотелось бы, чтобы вк всё оперативно исправили

Surrogate 6 авг 2025 в 22:15

хотелось бы чтобы насильно не "подсаживали" на этот чудовый мессенджер. еще и с госуслугами и возможностью оплаты в нем

GambitOZ 7 авг 2025 в 07:52

Нда рассмешили. Думаю главные уязвимости всплывут позже когда народ уже насадят на эту помойку. Будь я хакером придержал бы эти дыры и продал их позже на черном рынке. Ценник там бы был точно более этих мизерных ~8 миллионов. Там же по сути в доступе будет вся доступная информация всех подключенных россиян. Подключайся да качай - удобно и не надо собирать информацию по разным базам. Мечта мошенников, за нее никаких денег не пожалеют, т.к. выхлоп будет xN.

Egres 7 авг 2025 в 08:59

Ну а кто тебе мешает сейчас "подключиться и качать" к госуслугам, к примеру? Если всё настолько дырявое?

ddv88 7 авг 2025 в 17:27

Ты с пикабу что ли вывалился?

GambitOZ 8 авг 2025 в 07:27

Так госуслуги уже как минимум пару раз (которые освещали в сми) или более (не официально) уже ломали и сливали данные.

vovka3003 3 окт 2025 в 08:32

Было дело.. Валялась давеча фулл-базка где-то на трекере давеча.

GLeBaTi 7 авг 2025 в 09:52

Разраб оставляет уязвимость специально -> Его друг "случайно" её находит -> Делят деньги

Borelli 7 авг 2025 в 12:48

Есть риск вылететь из команды разрабов. Да и потом, сколько получишь? 50% от среднего значения вознаграждения 440 тыр. = 210 тыр. Сколько же платят в ВК, чтобы на это пойти рискуя должностью и свободой? При ЗП 40 - может быть. Но я сомневаюсь, что там такой уровень ЗП для разрабов такого класса приложений...

Да и потом, если сумму выплаты вешают депремированием на провинившегося разраба - выхлоп из схемы ноль.

vovka3003 3 окт 2025 в 08:26

На дворе 3.10.2025.. Прошло без малого 2 месяца со дня публикации статьи..

https://bugbounty.standoff365.com/programs/max

Любопытства ради взял в руки калькулятор.. Считаю разницу (за эти 2 месяца):

Всего выплачено: 12 915 ты.р.
Средняя выплата: n/a
Выплачено за последние ~~90 дней~~ 2 месяца : 12 915 ты.р.
Всего отчетов принято: 19
Всего отчетов сдано: 60

13k р. за 2 месяца и 19 принятых отчетов, Карл..

А за 1-й месяц: 8,5 мультов..

И это при минимальной обещанной сумме в 30k за уязвимость "низкого" уровня:

Кто может логически объяснить - в чем прикол сей динамики?
Все дыры закрыты, уязвимостей больше нет? Кончились деньги? Белым хакерам это уже не интересно..? 🤔

Зарегистрируйтесь на Хабре, чтобы оставить комментарий