"Positive Technologies" şirkətinin nümayəndəsi Aleksey Batyuk "Svyaz-2026" beynəlxalq sərgisində bildirib ki, "ağ hakerlər" "Max" messencerində 213 təhlükəsizlik boşluğu aşkarlayıblar. 1 iyul 2025-ci il tarixində istifadəyə verilmiş "Bug Bounty" proqramı çərçivəsində mütəxəssislərə ümumilikdə təxminən 22 milyon rus rublu ödənilib. Batyuk bu proqramın kiber-tədqiqatçıları cəlb etməkdə yüksək səmərəliliyini xüsusi vurğulayıb.
"Positive Technologies" şirkətinə məxsus "Standoff365" platformasının məlumatına görə, 10 aprel 2026-cı il tarixinə qədər göndərilmiş 454 hesabatdan 288-i qəbul edilib. Hər bir xəta üçün orta ödəniş 349 min rus rublu təşkil edib. Təkcə son 90 gün ərzində hakerlərə 9,5 milyon rus rublu verilib. Bundan əlavə, "Bi.Zone" və "Kiberpoliqon" platformalarında da təxminən 1,5 milyon rus rublu məbləğində mükafat paylanılıb.
Ən çox hansı zəifliklər aşkarlanıb?
Kibertəhlükəsizlik mütəxəssislərinin sözlərinə görə, sistemdə ən çox rast gəlinən boşluq IDOR (Insecure Direct Object Reference - obyektə qeyri-təhlükəsiz birbaşa keçid) vektoru olub. Bu xəta tətbiq və ya API-nin istifadəçi məlumatlarından lazımi yoxlama aparmadan istifadə etməsi nəticəsində yaranır. Nəticədə, kiberkriminallar serverə göndərilən sorğuda mesaj, çat və ya istifadəçi ID-sini dəyişərək başqalarının məlumatlarına icazəsiz giriş əldə edə bilərlər.
"Max" rəhbərliyinin reaksiyası necə oldu?
"Max" Təhlükəsizlik Mərkəzi bəyan edib ki, daxil olan hər bir hesabat ciddi şəkildə yoxlanılır və aşkarlanan zəifliklər prioritet qaydada aradan qaldırılır. Mərkəzdən bildirilib ki, platforma hələ "Zero Nights 2025" konfransında ən yaxşı beynəlxalq ekspertlər tərəfindən tədqiq edilib. Məhz həmin vaxt mütəxəssisləri cəlb etmək məqsədilə tapılan xətalara görə verilən mükafatların məbləği artırılıb.
Messencerin mətbuat xidməti isə istifadəçi məlumatlarının etibarlı şəkildə qorunduğunu vurğulayıb. Rəsmilərin sözlərinə görə, "Bug Bounty" proqramları qlobal standartdır və yetkin təhlükəsizlik göstəricisidir. Onlar qeyd ediblər ki, bu cür proqramlar çərçivəsində boşluqların tapılmasını sensasiya kimi təqdim etmək yanlışdır, çünki əsas məqsəd potensial riskləri kiberdələduzlardan əvvəl tapıb zərərsizləşdirməkdir.
