Een marktplaats waar hackers en beveiligingsonderzoekers exploits voor beveiligingslekken kunnen verkopen, is zelf door een 'gênante fout' gehackt. ExploitHub is een initiatief van onderzoeksbureau NSS Labs en omschrijft zich als de eerste legitieme marktplaats voor gevalideerde, non-zero-day exploits die penetratietesters helpen bij het uitvoeren van geavanceerdere tests.

Een groep aanvallers genaamd "Inj3ct0r Team" wisten de webserver te hacken en plaatsen de informatie deels online. ExploitHub laat via Facebook weten dat het een interessant doelwit is, omdat het over allerlei exploits beschikt die deelnemers hebben aangeleverd.

"Hoewel we geen zero-day exploit op de marktplaats toelaten, en alle exploits op de marktplaats voor openbaar bekende lekken zijn, is het product voor zowel deelnemers als onze klanten nog steeds waardevol." Het Inj3ct0r Team biedt via 1337day.com een eigen marktplaats aan waar onderzoekers hun exploits kunnen verkopen.

Script
Uit een eerste onderzoek blijkt dat de webapplicatieserver is gehackt en de aanvaller zo toegang tot de database heeft gekregen. De server werd gehackt via een installatiescript dat nog steeds toegankelijk was. Iets wat de oprichters als een 'gênante fout' omschrijven.

De gehackte database zou informatie over deelnemers en informatie over exploits bevatten, zoals prijzen, maar niet de exploits zelf. Volgens de ExploitHub is dit openbare informatie die op de website te vinden is. Volgens het Inj3ct0r Team zijn er wel degelijk exploits buitgemaakt en zullen die uiteindelijk openbaar worden gemaakt, zo laat de groep via Twitter weten.