Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

Ceny oferowane za exploity zero-day są wyższe niż kiedykolwiek wcześniej

Kapitan Hack / Cybernews / Ceny oferowane za exploity zero-day są wyższe niż kiedykolwiek wcześniej

Dobre wieści dla hackerów i poszukiwaczy podatności, ale straszne wieści dla producentów technologii. Firma Zerodium opublikowała nagrody za podatności zero-day, które oferuje w ramach swojego programu bug bounty. Kwoty są większe niż kiedykolwiek wcześniej!

Organizacja Zerodium jest teraz gotowa zaoferować nawet 2 miliony dolarów za w pełni działający exploit zero-day na urządzenia mobilne. Dotyczy to przede wszystkim przejęcia uprawnień, kradzieży danych z aplikacji WhatsApp, iMessage i innych tego typu.

Polityka Zerodium polega na kupowaniu od hackerów i sprzedawaniu agencjom rządowym na całym świecie patentów na podatności zero-day. Najwięcej płacą za urządzenia mobilne, a w szczególności za zdalne jailbreak’i na IPhone. Więcej szczegółów na grafice poniżej.

Wcześniej firma oferowała 1,5 miliona dolarów za trwałe jailbreak’i iOS, które mogą być wykonywane zdalnie bez interakcji użytkownika (zero-click), ale teraz firma zwiększyła tę kwotę do 2 milionów dolarów. Nagroda za zdalny jailbreak systemu iOS, który wymaga minimalnej interakcji z użytkownikiem (one-click) wynosi 1,5 miliona dolarów. Kwota wzrosła o 50% w porównaniu z poprzednim rokiem.

Zerodium podwoiła również cenę za exploity zdalnego uruchamiania kodu (RCE), które przeznaczone są na aplikacje do wysyłania wiadomości, takie jak WhatsApp, iMessage i SMS/MMS dla wszystkich mobilnych systemów operacyjnych. Kwota w tym przypadku to 500 000 USD.

Autor: 3 min czytania
„Cennik” podatności zero-day na urządzenia mobilne oferowany przez firmę Zerodium.
źródło: zerodium.com

Tak znaczna podwyżka cen za bug bounty spowodowana jest coraz większą popularnością aplikacji i urządzeń mobilnych, a także zwiększeniem poziomu zabezpieczeń i nakładu finansowego w tych systemach. Dodatkowo celem jest przyciągnięcie większej liczby naukowców, hackerów i bug hunterów.

Kwota płacona przez Zerodium za nabycie oryginalnych exploitów zero-day zależy od popularności i poziomu bezpieczeństwa danego oprogramowania lub systemu, a także od jakości przesłanego exploita, np. czy dzięki niemu można przejść całą ścieżkę killchain, czy dotyczy bieżących wersji, czy jest widoczny dla użytkownika itp.

Aby odebrać nagrodę pieniężną, odkrycie podatności musi być oryginalne i wcześniej niezgłoszone. Zerodium gotów jest zapłacić nawet większe kwoty, jeśli wykryta podatność dotyczyła będzie czegoś zupełnie wcześniej nieznanego i będzie miała krytyczny wpływ na działanie i bezpieczeństwo systemów mobilnych.

Popularne

Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców

Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców

16 sierpnia br. na forum cyberprzestępczym pojawiła się oferta sprzedaży ogromnej bazy danych, zawierającej ponad 15,8 miliona par adresów e-mail i haseł w formacie jawnego tekstu powiązanych z konta...
4 min czytania 19 sie 2025 08:00
Jak uzyskać pełny dostęp do Windows? Tworzymy backdoor i uruchamiamy wiersz linii poleceń przed ekranem logowania na koncie SYSTEM

Jak uzyskać pełny dostęp do Windows? Tworzymy backdoor i uruchamiamy wiersz linii poleceń przed ekranem logowania na koncie SYSTEM

W dzisiejszym odcinku hakowania pokażemy stary i sprawdzony, choć nieco zmodyfikowany sposób na przejęcie pełnej kontroli w Windows i to jeszcze przed zalogowaniem się do systemu (na ekranie powitalnym). Za je...
7 min czytania 27 mar 2023 06:52
Czym są non-human identities (NHI)? Jak możemy je chronić i jakie zagrożenia stwarzają dla organizacji?

Czym są non-human identities (NHI)? Jak możemy je chronić i jakie zagrożenia stwarzają dla organizacji?

W dzisiejszym artykule opisujemy pewien problem istniejący w firmach i organizacjach, związany z tożsamościami nieludzkimi (non-human identities), czyli inaczej – tożsamościami niezwiązanymi z pracow...
10 min czytania 16 wrz 2024 07:54
Sprytny sposób na wyłączenie ochrony bezpieczeństwa (i nie tylko) na Windows

Sprytny sposób na wyłączenie ochrony bezpieczeństwa (i nie tylko) na Windows

Szukanie obejść zabezpieczeń Windows (i nie tylko) to jeden z najciekawszych aspektów dziedziny cyberbezpieczeństwa, które – nie ukrywajmy – bardzo lubimy. Na Kapitanie publikujemy często tego typu artyk...
6 min czytania 2 sie 2023 08:00
Trojan podstępnie kradnący poświadczenia kont na Facebooku

Trojan podstępnie kradnący poświadczenia kont na Facebooku

Grupa badaczy Zimperium zLabs wykryła nową kampanię zagrożeń dla systemu Android, trojana „Schoolyard Bully”, aktywnego od 2018 roku. Kampania dotknęła ponad 300 000 ofiar i jest ukierunkowana w szczegól...
4 min czytania 6 gru 2022 08:00
Popularne
Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców
Jak uzyskać pełny dostęp do Windows? Tworzymy backdoor i uruchamiamy wiersz linii poleceń przed ekranem logowania na koncie SYSTEM
Czym są non-human identities (NHI)? Jak możemy je chronić i jakie zagrożenia stwarzają dla organizacji?
Sprytny sposób na wyłączenie ochrony bezpieczeństwa (i nie tylko) na Windows
Trojan podstępnie kradnący poświadczenia kont na Facebooku
Appeal

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.