¿Quieres vender tus explois al lado oscuro? ZERODIUM publica una lista de precios

ZERODIUM es una startup que paga a los investigadores de seguridad por los exploits de tipo 0-day que afecten a los sistemas operativos, software y/o dispositivos más populares. 
Eso sí, mientras que la mayoría de los programas de recompensas existentes (bug bounty programs) aceptan casi cualquier tipo de PoC pagando recompensas menores, en ZERODIUM se centran en las vulnerabilidades de alto riesgo y exploits completamente funcionales, y (dicen) pagan las más altas recompensas del mercado. 

Pagan por "exploits de día cero originales, exclusivos y anteriormente no declarados". De hecho, afirman que su primera regla es no discutir los precios públicamente y recientemente han publicado una interesante lista de precios:


ZERODIUM advierte expresamente a los hackers que cualquier exploit que vendan a ZERODIUM debe ser sólo para los ojos de ZERODIUM, por lo que no pueden revenderlos a otros compradores o divulgarlo al proveedor de software afectado para que saque un parche y haga el ataque inútil. ¿Por qué? Pues porque ZERODIUM quiere mantener en secreto todas las técnicas para sus clientes que son "organizaciones gubernamentales que necesitan capacidades específicas y adaptadas de ciberseguridad", así como clientes corporativos que dicen utilizar las técnicas para propósitos defensivos (no se lo creen ni ellos).

En definitiva, una plataforma tachada y con razón de "oportunista y éticamente cuestionada" de cuyo fundador Chaouki Bekrar se dice ser "el mercader moderno de muerte" acusado de vender "las balas para la ciberguerra". 


No voy a ser yo quien juzge, por supuesto que cada uno que haga lo que quiera, pero siempre es interesante ver por cuánto se pagan los exploits, hasta ahora siempre en un mercado negro oculto pero siempre existente...

Fuentes:
- Zerodium Exploit Acquisition Platform
- Here’s a Spy Firm’s Price List for Secret Hacker Techniques

Comentarios