Een marktplaats voor exploits biedt 3.300 euro aan onderzoekers die aanvalscode voor lekken in Internet Explorer en Adobe Flash Player ontwikkelen. ExploitHub is een initiatief van onderzoeksbureau NSS Labs en omschrijft zich als de eerste legitieme marktplaats voor gevalideerde, non-zero-day exploits die penetratietesters helpen bij het uitvoeren van geavanceerdere tests.
Onderzoekers krijgen maximaal 375 euro voor een exploit, die ze later weer op de marktplaats voor een hoger bedrag kunnen verkopen. Door de wedstrijd hoopt NSS Labs aandacht voor ExploitHub te krijgen en dat er meer exploits verschijnen. Van de 53 aangeboden exploits zijn er 34 voor Oracle software en 15 voor Microsoft programma's. De huidige campagne is bedoeld voor tien lekken in Internet Explorer en twee in Adobe Flash Player. Voor de kwetsbaarheden zijn inmiddels al patches beschikbaar.
Beloning
"Client-side exploits zijn de favoriete wapens voor moderne aanvallen, waaronder spear phishing en zogeheten advanced persistent threats. Security professionals moeten dit kunnen bijbenen", zegt CEO Rick Moy.
Het bedrag dat NSS Labs uitlooft is bijzonder laag in vergelijking met veel andere beloningsprogramma's bieden. Google en Mozilla geven elk drieduizend dollar voor ernstige lekken in bijvoorbeeld Google Chrome of Firefox. Daarnaast zijn er ook verschillende bedrijven die lekken van onderzoekers opkopen, zoals het Tippingpoint Zero Day Initiative, waarbij veel hogere bedragen voor onderzoekers zijn te verdienen. Alleen bij een recente wedstrijd van Rapid7, waar om nieuwe Metasploit exploits werd gevraagd, werden soortgelijke bedragen uitgeloofd.
Deze posting is gelocked. Reageren is niet meer mogelijk.