10.04.2026 17:26
Белые хакеры подтвердили уязвимости в мессенджере Max
Белые хакеры все-таки подтвердили https://www.kommersant.ru/doc/8586537
возможность несанкционированного доступа к чужим данным в мессенджере Max, и передали всю информацию разработчикам.
Ранее пользователь Pikabu https://t.me/prohitec/11688
обнаружил, что пользователи Max могут открывать чужие файлы из личных переписок по ссылке, а представители Max заняли позицию https://tass.ru/ekonomika/26794927
, что длинного ключа, который нельзя подобрать грубым перебором доквантовыми методами, достаточно, чтобы защитить данные пользователи. Но, похоже, что у белых хакеров это все же получилось. Сейчас мы видим также сообщения от пользователей, что им приходят чужие уведомления или даже файлы, которые предназначены не им, но сами пока подтвердить или опровергнуть это не можем. Всего белые хакеры нашли 213 уязвимостей, за что получили в сумме почти 22 млн. рублей при средней выплате в 349 тыс. руб. от разработчиков.
Ранее мы направляли разработчикам Max предложение добавить в мессенджер сверку наличия cookie с соответствующей авторизацией у пользователя, который пытается открыть файл через Max, а также дополнительно шифровать трафик. Наше контактное лицо во ВКонтакте тогда сообщило нам, что сообщение успешно передало разработчикам, но никакого ответа мы не получили. Хочется верить, что теперь после Bug Bounty безопасность национального мессенджера, который создавали "не для замены иностранных мессенджеров https://www.kommersant.ru/doc/7909251 " будет повышена. И желательно сразу до стандартов постквантовой эпохи.
возможность несанкционированного доступа к чужим данным в мессенджере Max, и передали всю информацию разработчикам.
Ранее пользователь Pikabu https://t.me/prohitec/11688
обнаружил, что пользователи Max могут открывать чужие файлы из личных переписок по ссылке, а представители Max заняли позицию https://tass.ru/ekonomika/26794927
, что длинного ключа, который нельзя подобрать грубым перебором доквантовыми методами, достаточно, чтобы защитить данные пользователи. Но, похоже, что у белых хакеров это все же получилось. Сейчас мы видим также сообщения от пользователей, что им приходят чужие уведомления или даже файлы, которые предназначены не им, но сами пока подтвердить или опровергнуть это не можем. Всего белые хакеры нашли 213 уязвимостей, за что получили в сумме почти 22 млн. рублей при средней выплате в 349 тыс. руб. от разработчиков.
Ранее мы направляли разработчикам Max предложение добавить в мессенджер сверку наличия cookie с соответствующей авторизацией у пользователя, который пытается открыть файл через Max, а также дополнительно шифровать трафик. Наше контактное лицо во ВКонтакте тогда сообщило нам, что сообщение успешно передало разработчикам, но никакого ответа мы не получили. Хочется верить, что теперь после Bug Bounty безопасность национального мессенджера, который создавали "не для замены иностранных мессенджеров https://www.kommersant.ru/doc/7909251 " будет повышена. И желательно сразу до стандартов постквантовой эпохи.