Компания внесла изменения в свой прайс-лист.
В среду, 23 августа, известный вендор эксплоитов Zerodium опубликовал новый прайс-лист. Самые крупные суммы компания готова заплатить за уязвимости нулевого дня в защищенных приложениях для общения. За ранее неизвестные уязвимости в WhatsApp, Signal, Facebook Messenger, iMessage, Telegram и т.д., позволяющие удаленно выполнить код или повысить привилегии, компания готова выложить $500 тыс.
Защищенные мессенджеры являются камнем преткновения между правоохранительными органами и правозащитниками. Проблема встала особенно остро в начале прошлого года, когда ФБР потребовало от Apple помочь в разблокировке iPhone террориста. Компания отказалась, сославшись на политику конфиденциальности данных своих пользователей.
Zerodium скупает у исследователей информацию о неизвестных уязвимостях и перепродает их своим клиентам, которые затем могут использовать ее в самых разных целях. Как пояснил основатель компании Чаоуки Бекрар (Chaouki Bekrar), для поимки преступников правоохранительным органам необходима возможность взламывать защищенные приложения. Тем не менее, он заверил, что Zerodium продает уязвимости правительствам только демократических стран, не находящихся под санкциями.
Изменения в расценках в основном коснулись мобильных приложений. Теперь Zerodium готова выложить полмиллиона за уязвимости в «родных» мобильных почтовых программах, позволяющих удаленно выполнить код или локально повысить привилегии.
Согласно новым расценкам, стоимость уязвимостей нулевого дня в Windows 10 (в особенности в SMB и RDP), позволяющих удаленно выполнить код, составляет $300 тыс. Ранее неизвестные уязвимости в web-серверах Apache на Linux и Microsoft IIS теперь стоят $150 тыс., а в Microsoft Outlook – $100 тыс.Собираем и анализируем опыт профессионалов ИБ