Технологический холдинг VK запускает программу поиска уязвимостей (Bug Bounty) в мессенджере Max.
Как говорится в сообщении VK, в рамках программы акцент будет сделан на защиту приватности пользователей платформы Max.
"Независимым исследователям предстоит искать уязвимости в мобильном приложении, web и desktop-версиях платформы без ограничения области поиска", - говорится в сообщении.
Максимальное вознаграждение независимым исследователям составит 5 млн рублей. Выплаты будут варьироваться от степени критичности найденных уязвимостей с особым фокусом на защищенности пользовательских данных.
Использованные источники:
Комментарии
Пять лямов?
https://aftershock.news/?q=node/1520419&page=2
Не благодарите.
Так это всё не критично.
Early access, бгг
Я еще раз повторю - братика Паши Дурова (он вроде в РУ) в контору за седые йайца и пусть работает над безопасностью отечественного месенджера.
В конторе таких братиков как у собаки - блох. И они работают. На благо родины. Не уверен, что безопасность отечественного месенджера - благо для Родины.
Отечественный мессенджер должен сливать данные отечеству и только.
Телеграмм так и делает. Смешные лягушатники прижавшие яйца Паши. Правильные яйца уже прижаты правильными людьми, и давно дают полезный мед.
Паша, 2 рубля и наша. Пригласить его в Москву и тоже "пролюбить". Или эта
гнидабык-производитель не созволит?Это его работа.
Зачем? Чтобы что? Паша - пиар лицо, которое продает. Ключи в Москве. У тех у кого надо.
Ну если так.
А лягушатники тогда чего хотели?
А они не знали. <sarcasm>Великолепная работа как знаменитой Direction générale de la Sécurité extérieure, так и Communauté française de renseignement. </sarcasm> А как узнали так Пашу и отпустили.
а где исходники выложены ?
воот.
по услышанному о бинарниках могу заметить, что в одном процессе держать ffmpeg и чувствительные данные -- крайне плохая идея.
(у меня эльбрус и ~аврора, толку с тех бинарников "как есть" весьма мало)
Установил MAX. Пытаюсь зарегистрироваться там указав свой тел. Не приходит СМС с кодом. Несколько раз пробовал. Что то сыровато это приложение..
Так с Госуслуг тоже бывает приходит раза с 4-5. Например.
Хе-хе. Оферта с отказом от судебного преследования в случае взлома где?
Горбатого могила исправит.
Открытый код ?
Так нельзя начинать.
Там такое говнище, что лучше не надо.
Да, действительно.
Глубокий анализ киберстратегий России, Китая, США, Израиля, Ирана и Европы
1. Россия: хаотичная киберстратегия с элементами саморазрушения
Текущее состояние:
Смешение криминала и государства. История группировки Lurk, завербованной ФСБ, а затем брошенной под суд, показывает системную проблему: российские спецслужбы пытаются использовать хакеров как инструмент, но не могут обеспечить им ни защиты, ни четких правил игры.
Коррупция и предательство внутри системы. Дело Михайлова, Докучаева и Стоянова (осужденных за госизмену) демонстрирует, что даже в ФСБ есть агенты западных спецслужб, что подрывает доверие к госструктурам.
Отсутствие системного подхода. В отличие от Китая или США, в России нет единой стратегии интеграции хакеров в госаппарат. Вербовка ведется кулуарно, без прозрачных карьерных путей.
Плюсы (если их можно так назвать):
Гибкость неформальных связей. Российские хакеры (включая "патриотических") могут быстро адаптироваться, так как работают в условиях слабого правового поля.
Опыт гибридных операций. Россия доказала, что может эффективно использовать кибератаки в политических целях (вмешательство в выборы США-2016, атаки на Украину).
Минусы:
Отсутствие долгосрочной стратегии. Хакеров либо сажают, либо бросают, либо сливают.
Кибервойска — "дикие гуси". В отличие от Китая, где хакеры интегрированы в армию и разведку, в России они остаются полукриминальными наемниками.
Ответные санкции. Из-за сливов и некомпетентности (как в случае с Lurk) Россия получает международное давление, но не может создать устойчивую кибероборону.
Что мешает?
Коррупция и кумовство. История с Алтушкиным (олигарх, связанный с делом Lurk) показывает, что даже в киберпространстве всё решают личные связи.
Отсутствие прозрачного рекрутинга. В США и Китае хакеры приходят в спецслужбы через открытые конкурсы, в России — через тюрьму или "знакомства".
2. Китай: кибервойна как национальная стратегия
Как работает:
Государственная система подготовки. Университетские программы, хакерские турниры (Tianfu Cup), обязательное раскрытие уязвимостей властям.
Полная интеграция в разведку. Утечки I-Soon показали, что китайские хакеры работают на полицию, армию и МГБ по контрактам.
Стратегия "тихого внедрения". Группы вроде Volt Typhoon годами сидят в инфраструктуре США, не атакуя, а ждя приказа.
Плюсы:
Системность. Китай не вербует хакеров — он их выращивает.
Гибкость. Использует как военных, так и "частных" хакеров, что затрудняет атрибуцию.
Долгосрочные цели. Не просто крадут данные, а готовят инфраструктуру для будущих ударов (энергосети, логистика, связь).
Что можно перенять России?
Создание киберуниверситетов (аналог Университета обороны Китая).
Легальные хакерские конкурсы с трудоустройством в ФСБ/ГРУ.
Обязательное раскрытие уязвимостей государству (как в законе Китая 2021 года).
3. США: киберсила через инновации и контроль
Как работает:
АНБ и Cyber Command действуют как высокотехнологичные корпорации.
Открытый рекрутинг. Вакансии на сайте АНБ, хакатоны, сотрудничество с университетами (MITRE, Stanford).
Использование Big Tech. Microsoft, Google, Amazon помогают в киберразведке.
Плюсы:
Гибридная модель. Государство + частный сектор.
Глобальная разведсеть. Атаки типа Stuxnet (Иран) или взлом SWIFT показывают возможности.
Минусы:
Уязвимость к сливам (как Сноуден).
Зависимость от коммерческих компаний.
Что Россия делает неправильно?
В США хакер может прийти в АНБ легально, в России — только через тюрьму или "друга чекиста".
4. Израиль: стартап-нация в кибервойне
Как работает:
Unit 8200 — аналог АНБ, но с акцентом на стартапы. Многие основатели Check Point, NSO Group — бывшие военные.
Киберрезервисты. Хакеры служат в армии, затем уходят в бизнес, но остаются на связи.
Плюсы:
Быстрое внедрение технологий. Pegasus (NSO) стал оружием, но изначально создавался как коммерческий продукт.
Гибкость. Нет бюрократии как в России.
Что России не хватает?
Связи армии и IT-бизнеса. В России хакеры либо сидят, либо бегут за границу.
5. Иран: асимметричная кибервойна
Как работает:
Группы вроде APT33 атакуют Саудовскую Аравию, США.
Использование прокси (хакеры-патриоты, но формально независимые).
Плюсы:
Дешево и эффективно. Нет сложной инфраструктуры как у США, но есть результат.
Минусы:
Слабая защита. Иранские АЭС и госструктуры легко взламываются.
6. Европа: защита вместо атаки
Как работает:
ENISA координирует защиту, но нет наступательных кибервойск.
GDPR и регулирование. Безопасность важнее агрессии.
Плюсы:
Стабильность. Нет скандалов как с Lurk.
Минусы:
Зависимость от США в кибербезопасности.
Выводы: что ждет Россию?
Если ничего не изменится:
Хакеры будут либо садиться, либо сбегать (как Поляков в Украину).
Кибератаки останутся хаотичными, без долгосрочного эффекта.
Санкции и международная изоляция усилятся.
Что нужно сделать:
Создать открытый рекрутинг (как у АНБ).
Интегрировать хакеров в армию (как в Китае).
Разорвать связь с криминалом (прекратить вербовать через угрозы).
От чего отказаться:
От кумовства (истории вроде Алтушкина).
От "вербуем-сажаем" тактики.
Итог: Пока Россия играет в "гибридные игры" без системы, Китай и США выигрывают кибервойну. Без реформ — страна останется в роли "цифрового бандита", а не сверхдержавы.
После этой аналитики становится ясно что все критические уязвимости месенджера (и не только) будут перекуплены Китаем задолго до того как их найдут..
Ой не смешите) Будет как в WeChat, где даже не скрывается, что всё видится и читается)
Мессенджер как мессенджер. Встроенный бесплатный ГигаЧат порадовал. Если у вас паранойя, и вы всерьез считаете, что товарищ майор из ФСБ читает все ваши сообщения, пользуйтесь программами для шифрования. Ну, или продолжайте пользовать WhatsApp. Он ведь безопасный.
С удивлением обнаружил, что ГигаЧат в MAX может обрабатывать видеоролики из YouTube. Судя по всему, научился обходить блокировку.
Жаль, украинская тема не проходит цензуру.
Это те самые, которые получив от Дурова готовый ВК отделали его как бог черепаху? Там вообще неадекватный менеджмент.
Это тот самый Дуров, который слизал ВК с мордокниги?
Вор у вора дубинку украл?
Забавно, но установил МАХ, он подтянул контакты из телефона, оказывается там уже 1/3 моих контактов сидит🤷
Но больше всего прикольно с чатом джпт общаться ))