De NSA zou 91% van de meest kritieke zero day-lekken die het in software vindt die in de Verenigde Staten wordt gebruikt of ontwikkeld rapporteren, zo laat de Amerikaanse geheime dienst op de eigen website weten. Om hoeveel kwetsbaarheden en welke software het precies gaat wordt niet gemeld.

De resterende 9% van de gevonden kwetsbaarheden is al verholpen voordat de NSA de leverancier kan informeren of wordt vanwege nationale veiligheidsoverwegingen niet gerapporteerd. Zero day-lekken zijn kwetsbaarheden waarvoor nog geen beveiligingsupdate van de leverancier beschikbaar is. Door dit soort lekken hebben aanvallers een grotere kans op een succesvolle aanval om bijvoorbeeld toegang tot systemen te krijgen.

"De Amerikaanse overheid zet zich in voor een open, interoperabel, veilig en betrouwbaar internet. In de meeste gevallen is het verantwoord melden van een nieuw ontdekte kwetsbaarheid duidelijk in het nationale belang", aldus de uitleg van de NSA. De geheime dienst stelt dat er voor- en nadelen kleven aan de beslissing om een lek te melden. Hierdoor kan namelijk de mogelijkheid worden verspeeld om belangrijke buitenlandse inlichtingen te verzamelen die onder andere "terroristische aanvallen" kunnen voorkomen.

De NSA gebruikt nu een proces om te bepalen wanneer het een kwetsbaarheid meldt. "Hoewel deze beslissingen gecompliceerd kunnen zijn, neigt de overheid naar het verantwoord en discreet melden van kwetsbaarheden." Volgens huidige en voormalige overheidsfunctionarissen zijn de geruststellingen van de NSA echter misleidend, omdat de geheime dienst de kwetsbaarheden eerst zelf gebruikt om aanvallen mee uit te voeren voordat het bedrijven inlicht zodat die de problemen kunnen verhelpen en patches onder gebruikers kunnen uitrollen, zo meldt persbureau Reuters.