De Amerikaanse burgerrechtenbeweging EFF hekelt de verkoop van beveiligingslekken aan opsporings- en inlichtingendiensten die hierdoor computers kunnen infiltreren. Onlangs openbaarde Forbes de levendige handel in zogeheten "zero-day exploits". Aanvalscode voor beveiligingslekken waarvoor nog geen beveiligingsupdate beschikbaar is. Beveiligingsonderzoekers en hackers zouden voor de verkoop van dit soort lekken bedragen tussen 50.000 en 200.000 euro kunnen krijgen.

"Ongeacht wie de kopers zijn, elke beveiligingsonderzoeker die zero-day exploits verkoopt aan degenen die er misbruik van maken in plaats van de software repareren, is verantwoordelijk voor het onveiliger maken van het internet voor gebruikers", aldus Marcia Hofmann van de Electronic Frontier Foundation. Het bestaan van de handel in zero-days zou volgens haar de praktijk niet legaliseren.

"En beveiligingsonderzoekers moeten nooit hun ogen sluiten voor hun ethische verantwoordelijkheid om te helpen met het verbeteren van technologie. We moeten ervoor zorgen dat het internet vrijheid en veiligheid bevordert, en geen systeem is om te controleren en onderdrukken."

Overheid
Volgens Hofmann dragen ook overheden die zero-day kwetsbaarheden een deel van de verantwoordelijkheid. Aan de ene kant maken overheden zich zorgen over de onveiligheid van de online infrastructuur en worden er allerlei wetten en regels ingevoerd die vaak ten koste van de privacy van gebruikers gaan.

Aan de andere kant zorgen de verkoop en het gebruik van dit soort zero-day exploits er juist voor dat systemen gehackt worden en gebruikers risico lopen. "Dit is 'veiligheid voor de 1%' en het zorgt dat de rest van ons minder veilig is", besluit Hofmann.