Спустя 30 суток после запуска VK программы по поиску уязвимостей (Bug Bounty) в мессенджере Мax исследователи по безопасности и белые хакеры выслали суммарно на трёх ИБ-площадках 186 информационных отчётов по багам и уязвимостям в IT-инфраструктуре и в цифровых сервисах коммутационной платформы.
Данные с bugbounty.standoff365
В VK в июле 2025 года выплатили за найденные в Max уязвимости 7 811 435 рублей в рамках принятия от белых хакеров 79 отчётов с багами в работе мессенджера (46% отчётов подтверждены как полезные и уникальные).
1 июля 2025 года VK запустила программу по поиску уязвимостей в мессенджере Мax в рамках акцента на защиту приватности пользователей. Максимальное вознаграждение белым хакерам по этой программе составляет 5 млн рублей. Независимым исследователям предлагается искать уязвимости в мобильном приложении, веб‑версии и настольных‑версиях платформы Мax без ограничения области поиска. Проект Bug Bounty для Max доступен на всех платформах, где размещена программа VK Bug Bounty: Standoff Bug Bounty, BI.ZONE Bug Bounty и BugBounty.ru (прислали 15 отчётов, все они оказались n/a).
Данные с bugbounty.bi.zone
Выплаты по этой программе варьируются от степени критичности найденных уязвимостей с особым фокусом на защищённости пользовательских данных. Команда информационной безопасности VK отвечает на новый отчёт в течение 3 рабочих дней. Выплаты за уязвимость назначаются в течение 10 рабочих дней. Если оценка вознаграждения превышает 10 рабочих дней, то исследователь будет проинформирован дополнительно. Уязвимости 0-day/1-day могут считаться дубликатами в течение нескольких недель после публикации, если они уже известны команде информационной безопасности VK.
На новый проект также распространится разработанная VK накопительная механика Bounty Pass, направленная на повышение вознаграждений за персональные достижения независимых исследователей.
Источник: habr.com