Российский брокер уязвимостей предлагает до 4 млн долларов за zero-click эксплоиты для Telegram

[Desperado]

Компания Operation Zero, которая позиционирует себя как российская платформа, занимающаяся приобретением и продажей 0-day эксплоитов для российского правительства и местных компаний, объявила, что ищет эксплоиты для мессенджера Telegram и готова предложить за них до 4 млн долларов США.

Брокер уязвимостей

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

, что готов заплатить до 500 000 долларов за one-click эксплоит для удаленного выполнения кода (RCE), до 1,5 млн долларов за zero-click эксплоит и до 4 млн долларов за «полную цепочку», что подразумевает несколько уязвимостей, объединение которых в цепочку позволит перейти от компрометации аккаунта в Telegram ко взлому всей ОС или устройства.

Как отмечает издание

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

, интерес Operation Zero к уязвимостям нулевого дня в Telegram неудивителен, учитывая, что мессенджер «особенно популярен среди пользователей как в России, так и на Украине».

По информации издания, клиентами этого брокера уязвимостей в большинстве случаев выступают российские власти, и публикация цен на эксплоиты дает редкое представление о приоритетах на 0-day рынке России, о котором в целом известно немного. Журналисты полагают, что публикация этого сообщения с расценками свидетельствует о том, у российского правительства есть запрос на поиск багов в Telegram, что и побудило Operation Zero дать такую рекламу. То есть в компании уверены, что могут предложить высокие выплаты, поскольку заказчики готовы платить за уязвимости даже больше.

TechCrunch ссылается на пожелавшего сохранить анонимность эксперта, который знаком с рынком эксплоитов. Он заявил изданию, что названные Operation Zero цены на баги в Telegram «немного занижены». Специалист допустил, что это может быть обусловлено тем, что компания рассчитывает получить в два-три раза больше, когда будет перепродавать эксплоиты.

Другой анонимный специалист, работающий в 0-day индустрии, сообщил, что расценки Operation Zero не выглядят сильно завышенными. Он отметил, что на стоимость эксплоитов влияют такие факторы, как эксклюзивность, а также тот факт, что Operation Zero собирается повторно продавать эксплоиты как брокер.

После того как реклама Operation Zero привлекла внимание СМИ, в пресс-службе Telegram

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

изданию «Код Дурова», что мессенджер «никогда не был уязвим к zero-click эксплоитам».

Представители Telegram заявили, что открытый исходный код приложения и документированные протоколы шифрования проверены исследователями на безопасность, и подчеркнули, что Telegram — единственный мессенджер, у которого есть проверяемые приложения.

«Тот факт, что за его [эксплоита] обнаружение предлагаются деньги, говорит только о том, что они не смогли этого сделать», — сообщила пресс-служба мессенджера.

Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!

 

[arybary]

Опять хакерничать хотят

 

[neoland]

Куда нажимать-то?