De Franse hackers die onlangs Google Chrome hackten willen de details van de aanval voor nog geen miljoen dollar aan Google verklappen. De mannen achter beveiligingsbedrijf VUPEN verkopen die liever aan inlichtingen- en opsporingsdiensten. "We willen dit voor zelfs geen miljoen dollar met Google delen", zegt Chaouki Bekrar, oprichter van VUPEN. "We willen ze geen informatie geven die ze helpt om de exploit of soortgelijke exploits te patchen. We willen dit voor onze klanten bewaren", aldus Bekrar tegen Forbes, dat de lucratieve handel in zero-day lekken belicht.
Via deze 'zero-day' kwetsbaarheden kunnen overheidsdiensten op de computers van criminelen en andere interessante doelen inbreken, aangezien er nog geen patch voor beschikbaar is. De klanten van VUPEN zouden 100.000 dollar voor een jaarabonnement betalen. Daarmee krijgen ze toegang tot de informatie en technieken die de Fransen gebruiken. Voor de aanschaf van een zero-day exploit zou echter veel meer dan de 100.000 dollar abonnementsgeld moeten worden neergelegd.
VUPEN stelt dat het alleen aan NAVO-landen en NAVO-partners verkoopt. Daarbij wordt er alleen aan democratieën geleverd. Toch erkent Bekrar dat de mogelijkheid bestaat dat de exploits in verkeerde handen terechtkomen. "Als je een wapen aan iemand verkoopt, is er geen manier om ervoor te zorgen dat ze het niet aan een andere dienst verkopen."
Exploits
Volgens privacyonderzoeker Chis Soghoian verkoopt VUPEN "de kogels voor een cyberoorlog" en let het daarbij niet op potentiële slachtoffers, maar alleen op de eigen portemonnee. Bekrar wil zijn omzet niet verklappen, maar de Zuid-Afrikaanse hacker “the Grugq”, wil dit jaar meer dan één miljoen dollar verdienen. Hij fungeert als een handelaar in exploits en brengt zijn hackervrienden in contact met overheidsinstanties. Zijn provisie bedraagt 15%. "Ik weiger tegenwoordig alles wat beneden de 50.000 dollar zit." In december alleen wist hij 250.000 dollar via zijn overheidscontacten te verdienen.
The Grugq vindt de werkwijze van Bekrar’s VUPEN slim en lucratief. "Hij heeft alle kaarten. Hij kan zijn klanten vertellen om de exploits voor de aangeboden prijs te kopen, anders doet iemand anders het." Rechts een afbeelding van The Grugq met een tas vol geld voor één van zijn exploit-ontwikkelaars.
Deze posting is gelocked. Reageren is niet meer mogelijk.