پیشنهاد 20 میلیون دلاری یک روس برای هک اندروید و آیفون!
ایتنا - شرکتهایی مانند Operation Zero، برخلاف پلتفرمهای سنتی باگبانتی مانند Hacker One یا Bugcrowd، به فروشندگانی که محصولاتشان آسیبپذیری دارند هشدار نمیدهند بلکه آنها را به مشتریان دولتی میفروشند.
یک شرکت که بهرهبرداریهای روز صفر (zero-day) - نقصهای نرمافزاری که برای توسعهدهنده متاثرشده ناشناخته ماندهاند - را خریداری کرده و میفروشد اکنون به محققان پیشنهاد میکند 20 میلیون دلار برای ابزارهای هک که به مشتریانش اجازه میدهد آیفونها و دستگاههای اندرویدی را هک کنند بپردازد.
به گزارش ایتنا و به نقل از تککرانچ، شرکت Operation Zero در اکانتهای تلگرام خود و در حساب رسمیش در X، که قبلا توییتر بود، اعلام کرد که پرداختهایش برای روز صفرها در این پلتفرمها را از 200 هزار دلار به 20 میلیون دلار افزایش میدهد.
این شرکت نوشت: «با افزایش پاداش و ارائه طرحهای رقابتی برای کارهای قراردادی، ما تیمهای توسعهدهنده را تشویق میکنیم تا با پلتفرم ما کار کنند».
این شرکت، که در روسیه مستقر است و در سال 2021 راه اندازی شد، همچنین اضافه کرد که «مثل همیشه، کاربر نهایی یک کشور غیر ناتو است». در وبسایت رسمی خود، این شرکت توضیح میدهد که «مشتریان ما فقط سازمانهای خصوصی و دولتی روسیه هستند».
وقتی از سرگئی زلنیوک، مدیر عامل این شرکت، پرسیده شد که چرا آنها فقط به کشورهای غیر ناتو میفروشند. گفت: «هیچ دلیلی جز دلایل واضح وجود ندارد».
زلنیوک همچنین گفت که پاداشهایی که Operation Zero در حال حاضر ارائه میدهد ممکن است موقتی باشد و بازتابی از زمان خاصی در بازار و سطح دشواری هک iOS و اندروید باشد.
زلنیوک در ایمیلی گفت: «ساختار قیمت آیتمهای خاص تا حدود زیادی به در دسترسبودن محصول در بازار روزصفر بستگی دارد. در حال حاضر بهرهبرداریهای زنجیره کامل برای تلفنهای همراه گرانترین محصولات هستند و بیشتر توسط نقشآفرینان دولتی استفاده میشوند. زمانی که یک نقشآفرین به محصولی نیاز دارد، گاهی اوقات حاضر است تا جایی که ممکن است برای در اختیار داشتن آن، قبل از اینکه به دست طرفهای دیگر برسد، هزینه بپردازد.»
حداقل یک دهه است که شرکتهای مختلف در سراسر جهان به محققان امنیتی که مایل به فروش باگها و تکنیکهای هک برای بهرهبرداری از نقایص مذکور هستند پاداشهایی ارائه کردهاند. شرکتهایی مانند Operation Zero، برخلاف پلتفرمهای سنتی باگبانتی مانند Hacker One یا Bugcrowd، به فروشندگانی که محصولاتشان آسیبپذیری دارند هشدار نمیدهند بلکه آنها را به مشتریان دولتی میفروشند.