Известный брокер уязвимостей готов заплатить 1 млн долларов за эксплоиты для Tor

Мало кто знает, что существует такая компания, как Zerodium. Она открылась почти 2 года назад и за это время успела заработать себе очень большую известность. Ее основателем является Чауки Бекрар, который в свое время основал Vupen. Его новое детище на сегодняшний день заслужило славу одного из самых известных брокеров уязвимостей в мире.

По сравнению с Vupen, которая занимается поиском уязвимостей и разработкой собственных эксплоитов, Zerodium кроме этого всего имеет еще и достаточно средств, чтобы покупать данные об уязвимостях у сторонних хакеров за очень хорошее денежное вознаграждение.

Анонс новой bug bounty программы состоялся только вчера, но она уже привлекла к себе большое внимание. Предполагается, что программа будет работать 2,5 месяца или же до того момента, когда компания исчерпает свою бюджет, выделенный на этот проекта. А выделить решено было не мало, а аж 1 млн долларов.

Больше всего ценится информация об обнаружении уязвимости нулевого дня в Tor Browser для десктопных операционных систем Windows и Linux с выключенным JavaScript при условии предоставления вместе с данными о дыре в браузере и эксплоита для нее. За это Zerodium готов выплатить 250 тысяч долларов. Если же уязвимость затрагивает только одну из указанных операционных систем, то сумма вознаграждения сокращается до 200 тысяч долларов.

Если же уязвимость обнаружена в браузере со включенным JavaScript, то размер вознаграждения сокращается до 125 тысяч долларов, если брешь затрагивает обе ОС, и до 100 тысяч долларов, если только одну.

В комментарии к запуску проекта Бекрар заявил, что компания готова купить много эксплоитов, так как у нее есть достаточное число клиентов, готовых заплатить за это. Основатель компании не отрицает, что она сотрудничает с правительственными организациями, которые активно борются с нелегальной активностью, для осуществления которой чаще всего используется Tor. В частности, в своем комментарии он упомянул, что клиенты Zerodium борются в том числе с наркоторговлей и насилием над детьми.

В комментарии к bug bounty программе указано, что ценность представляют только те уязвимости, которые помогают деанонимизировать пользователей. Если же брешь позволяет только произвести манипуляции с сетью Tor или же нарушить работу сети, то она для Zerodium не представляет ценности.

Отметим, что в прошлом месяце компания запустила еще одну программу, в рамках которой она готова была заплатить 500 тысяч долларов за критические уязвимости в популярных мессенджерах (Signal и WhatsApp).

В самом Tor Project уже ознакомились с проектом Zerodium и прайсом. Специалисты восприняли это очень спокойно и даже отметили, что столь высокий размер вознаграждений свидетельствует о том, что Tor действительно предоставляет своим пользователям очень высокий уровень безопасности. При этом они отметили, что в случае обнаружения уязвимости, лучше продавать ее непосредственно самим разработчикам Tor. Но вот сумма вознаграждения здесь будет в несколько сотен раз ниже, ведь Tor Project готов заплатить за дыры в своем браузере всего 4000 долларов.