Без рубрики

Zerodium заплатит миллион долларов за эксплоиты для Tor Browser

Компания Zerodium, основанная в 2015 году Чауки Бекраром (Chaouki Bekrar), одним из создателей Vupen, является одним из наиболее известных брокеров уязвимостей на рынке. Тогда как Vupen преимущественно занималась разработкой собственных эксплоитов, Zerodium имеет не только собственную команду девелоперов, но и приобретает эксплоиты и уязвимости у третьих сторон.

Сегодня, 13 сентября 2017 года, Zerodium анонсировала новую, временную bug bounty программу. Программа проработает до 30 ноября 2017 года (или будет завершена раньше, если компания потратит все запланированные средства) и на нее собираются потратить $1 000 000.

Zerodium готова щедро вознаградить специалистов, которые обнаружат 0-day уязвимости в Tor Browser для Tails Linux и Windows, а также предоставят эксплоиты для них. К примеру, за RCE+LPE эксплоит для обеих ОС, работающий даже при условии, что JavaScript заблокирован, компания готова заплатить $250 000. Более полный «прайс-лист» Zerodium можно увидеть в таблице ниже.

Zerodium заплатит миллион долларов за эксплоиты для Tor Browser

«Нам нужно много эксплоитов и у нас много клиентов, которые прямо сейчас проводят операции по борьбе с нелегальной активностью в Tor. Мы предъявляем к эсплоитам для Tor более жесткие требования ради наших правительственных клиентов, так как они сталкиваются с вопиющими случаями незаконной деятельности в Tor и должны действовать», — рассказал Чауки Бекрар изданию Vice Motherboard. Стоит сказать, что в официальном анонсе также упомянуты наркоторговля и насилие над детьми, с чем якобы и борются важные клиенты компании.

Представители Tor Project отнеслись к анонсу Zerodium достаточно спокойно. Так, один из разработчиков браузера сообщил журналистам, что «размер вознаграждений – это свидетельство безопасности, которую мы предоставляем». Тем не менее, разработчик подчеркнул, что «продавать» уязвимости все-таки лучше самому Tor Project, который тоже имеет программу вознаграждений за уязвимости. «Это в лучших интересах всех пользователей Tor, включая правительственные агентства», — отмечает Tor Project, но никак не комментирует тот факт, что официальная bug bounty инициатива предлагает исследователям только $4000 в качестве вознаграждения.