De Amerikaanse autoriteiten hebben in 2023 39 kwetsbaarheden aan softwareleveranciers gemeld die op dat moment nog onbekend waren en mogelijk bij operaties van de autoriteiten zijn ingezet. Dat staat in een document dat de Amerikaanse senator Ron Wyden heeft gedeeld (pdf). Het is de eerste keer dat de Amerikaanse overheid dergelijke informatie openbaar maakt.

Via het Vulnerability Equities Process (VEP) bepaalt de Amerikaanse overheid of het een zelf gevonden of ingekochte kwetsbaarheid aan de leverancier in kwestie meldt, zodat die een beveiligingsupdate kan ontwikkelen, of dat het beveiligingslek geheim gehouden wordt en inlichtingendiensten de kwetsbaarheid bijvoorbeeld kunnen inzetten (pdf).

Bij de beslissing om een kwetsbaarheid aan de betreffende leverancier te rapporteren wordt bijvoorbeeld gekeken waar het product wordt gebruikt, wat de impact van de kwetsbaarheid is en welke oplossingen voorhanden zijn. Ook de belangen van opsporingsdiensten worden in het proces meegenomen, zoals de waarde van de kwetsbaarheid en of er andere mogelijkheden zijn om het beoogde doel te bereiken.

De Amerikaanse autoriteiten hebben in het verleden geclaimd dat negentig procent van de kwetsbaarheden die via het VEP worden beoordeeld aan softwareleveranciers wordt gemeld, maar exacte cijfers waren niet bekend. In de 'FY23 VEP Annual Report Unclassified Appendix' wordt gesteld dat de autoriteiten in 2023 in totaal 39 kwetsbaarheden aan softwareleveranciers hebben gemeld. Tien daarvan betroffen inzendingen die in eerdere jaren ook waren beoordeeld, maar waarvan toen was bepaald dat ze nog niet openbaar mochten worden. Hoeveel van de door de VS gerapporteerde kwetsbaarheden aan leveranciers zijn gepatcht is onbekend. Ook is onbekend hoeveel beveiligingslekken er niet zijn gemeld.