money

A Zerodium é uma empresa que paga desenvolvedores de sistemas para descobrir falhas e vulnerabilidades em aplicativos populares. E não pagam pouco.

Frequentemente falamos sobre as falhas de segurança dos softwares, mas felizmente os desenvolvedores lançam rapidamente as atualizações após a detecção. Logo, cada versão nova é mais segura que a anterior, de modo que devemos ter sempre nossos dispositivos atualizados (e este é um dos inconvenientes do Android).

Isso também influi nas vulnerabilidades do sistema, ou exploits, mais especificamente aqueles do tipo zero-day. Nesse caso, o preço é mais caro quanto maior a dificuldade para localizar a falha, pagando o dobro ou o triplo da oferta original (no Android e iOS, respectivamente).

 

processo-pagamento-hacker

 

Mais concretamente, a Zerodium oferece US$ 1.5 milhão por vulnerabilidade comprovada no iOS e US$ 200 mil no caso do Android. Há preços para exploits localizados no Adobe Flash Player (entre US$ 80 mil e US$ 50 mil). Os preços estão diretamente relacionados com o grau de dificuldade na criação de cadeia de vulnerabilidades, e isso é muito mais difícil no iOS 10 e no Android 7 do que nas versões prévias.

Uma rede de vulnerabilidades se cotiza em ordem 7,5 vezes maior em um Android, o que dificulta em 7,5 vezes criar uma vulnerabilidade para o iOS, e isso também influi nos valores aplicados.

 

Qual é o perfil de cliente de uma empresa como a Zerodium?

 

codigos-hacker

 

A Zerodium tem como clientes os “bem intencionados” (naquelas). O perfil de compradores está nos governos e agências que usam essa informação para vigiar e espiar criminosos e terroristas que operam por vias cibernéticas e tecnológicas.

A empresa oferece melhores preços que as próprias proprietárias de software. Apple e Google oferecem recompensas bem menores que a Zerodium, se bem que o nível de exigência de exploits varia, sendo maior no caso da empresa de compra e venda.

É algo mais comum na Deep Web do que na internet aberta, e a Zerodium não é a única empresa que se dedica à compra e venda de vulnerabilidades. A Mitnick’s Absolute Zero-Day e a Exodus Inteliigence fazem o mesmo.

A Zerodium pagou até US$ 3 milhões no ano passado por dados de vulnerabilidades. Não revelam números sobre sua arrecadação, mas não deve ser pouca coisa. Em 2016, eles ofereceram até três vezes mais que o ano passado.

Via ZerodiumArs Technica