image

Bedrijf vraagt om zerodaylekken in apps ExpressVPN, NordVPN en Surfshark

woensdag 20 oktober 2021, 09:23 door Redactie, 15 reacties

Zerodium, een bedrijf dat zeroday-exploits van onderzoekers inkoopt en vervolgens aan andere partijen aanbiedt heeft nu ook beloningen uitgeloofd voor zerodaylekken in de Windowsapplicaties van vpn-aanbieders ExpressVPN, NordVPN en Surfshark.

Er wordt gezocht naar kwetsbaarheden waardoor informatie is te achterhalen, het echte ip-adres van gebruikers zichtbaar wordt en erop afstand code op het systeem van gebruikers is uit te voeren. De zeroday-exploits die Zerodium inkoopt worden doorverkocht aan klanten van het bedrijf. Op de eigen website laat Zerodium weten dat het aan overheidsinstanties levert, voornamelijk uit Europa en de Verenigde Staten.

Bedragen voor de gezochte zerodaylekken in de vpn-applicaties zijn niet genoemd. Op dit moment biedt Zerodium voor een aanval waardoor Androidtelefoons op afstand zonder interactie van gebruikers zijn over te nemen een beloning van 2,5 miljoen dollar. Een zelfde aanval tegen iPhones levert 2 miljoen dollar op. Voor een aanval waardoor Windowssystemen zonder interactie van gebruikers op afstand zijn over te nemen betaalt het bedrijf 1 miljoen dollar.

Burgerrechtenbewegingen zoals de EFF en Bits of Freedom en privacyonderzoekers hebben in het verleden vaak kritiek geuit op bedrijven als Zerodium. Het zou onduidelijk zijn waar de exploits terechtkomen en wie er gebruik van maken. Ook worden de softwareontwikkelaars in kwestie niet geïnformeerd, waardoor alle gebruikers van een bepaald platform risico lopen.

Reacties (15)
20-10-2021, 10:02 door Anoniem
Ik wist niet dat dit een miljarden business was, ervan uitgaan wat ze voor een lek betalen. Dus hier zien we de
echten reden waarom iedereen aan de smartphone moet.

Zij die hier altijd een smartphone zitten te promoten moeten echt eens goed na gaan denken en zich niet meer
laten misbruiken en hun gezond verstand gebruiken.
20-10-2021, 11:07 door Bitje-scheef
Wordt dit een koehandel ?
20-10-2021, 11:23 door Anoniem
Door Bitje-scheef: Wordt dit een koehandel ?

Nee,bughandel , dat staat er toch ?
20-10-2021, 11:24 door Briolet
In elk geval zijn er bij 'Zerodium' geen 0-days bekend bij de window versies van deze vpn apps. (Wel bij de mac, ios en android versies? Want lekken daarin zoeken ze niet.)
20-10-2021, 12:22 door -Peter-
Door Anoniem: Ik wist niet dat dit een miljarden business was, ervan uitgaan wat ze voor een lek betalen. Dus hier zien we de
echten reden waarom iedereen aan de smartphone moet.

Zij die hier altijd een smartphone zitten te promoten moeten echt eens goed na gaan denken en zich niet meer
laten misbruiken en hun gezond verstand gebruiken.

Juist niet. Je leest toch hopelijk ook wel dat een lek in Windows goedkoper is. En al die kopers van lekken, willen ook niet te veel geld uitgeven. Dus iedereen terug naar Windows, Dan heb je 5 lekken voor de prijs van 2 Android lekken.

Peter
20-10-2021, 12:25 door Anoniem
Jammer ik zou best wel dat geld kunnen gebruiken,maar zo handig met computers ben ik ook weer niet om proberen te hacken op zeroday lekken. Ik weet veel van computers maar programmeren en hacken is er niet mijn sterkste kant mee.
20-10-2021, 13:00 door Anoniem
Vragen om kwetsbaarheden in een product/beveiliging, zodat anderen vervolgens (digitaal) kunnen inbreken. Mag zoiets überhaupt wel wettelijk?
20-10-2021, 13:53 door Anoniem
Is dit niet gewoon medeplichtigheid?
Ik vind het nog steeds apart dat dit soort bedrijven (hetzelfde voor de NSO groep) niet gewoon worden aangepakt omdat ze misdrijven faciliteren.
20-10-2021, 14:00 door Anoniem
Dit is dus een goed voorbeeld van waarom je nooit een vpn provider moet nemen die ip adressen op hun naam heeft staan.

Voor copyright redenenen is het leuk (mailtjes van Brein, DMCA gaan naar de vpn provider in plaats van de transit provider).
20-10-2021, 14:39 door Briolet
Door Anoniem: Is dit niet gewoon medeplichtigheid?
Ik vind het nog steeds apart dat dit soort bedrijven (hetzelfde voor de NSO groep) niet gewoon worden aangepakt omdat ze misdrijven faciliteren.

Hoezo misdrijven? Ze verkopen aan overheidsinstanties. Dan ga ik ervan uit dat dit in het betreffende land legaal is. Wat legaal is bepaald een land nml zelf.
20-10-2021, 14:40 door Anoniem
Door Anoniem: Vragen om kwetsbaarheden in een product/beveiliging, zodat anderen vervolgens (digitaal) kunnen inbreken. Mag zoiets überhaupt wel wettelijk?
Vragen om kwetsbaarheden in units mag wettelijk. Ook door derden als in dit geval. Is zelfs wenselijk. Anders waren bijv. Chrome en Windows al zodanig lek, dat ze onwerkbaar waren. Om van iOS nog maar te zwijgen.

Breaches met de intentie informatie te stelen echter niet.

Het opvallend schimmige in dit verhaal zijn de zeer vermoedelijke opdrachtgevers van de gewenste bug findings áán Zerodium en hun onbekende intenties.
20-10-2021, 14:51 door Anoniem
Juist niet. Je leest toch hopelijk ook wel dat een lek in Windows goedkoper is. En al die kopers van lekken, willen ook niet te veel geld uitgeven. Dus iedereen terug naar Windows, Dan heb je 5 lekken voor de prijs van 2 Android lekken.

Peter
Hier heb je zeker een punt maar mijn desktop staat thuis en er zit geen camera of microfoon in, en ik ga ervan uit
dat een lek in een smartphone veel grotere gevolgen kan hebben voor je privacy dan een desktop. Maar het ging
mij er ook om dat ze steeds meer een smartphone gaan verplichten en ik kan hier niets mee, alleen aan de batterij
kan ik misschien zien dat er iets niet goed zit. Ik weet wel dat het raadzaam is om hem regelmatig uit te zetten en weer
aan, heb ik gemerkt door advertenties die steeds terug kwamen. Met mijn desktop heb ik zelf de regie in handen en met
mijn smartphone moet ik maar geloven dat alles goed is.
20-10-2021, 15:01 door Anoniem
Door Briolet:
Door Anoniem: Is dit niet gewoon medeplichtigheid?
Ik vind het nog steeds apart dat dit soort bedrijven (hetzelfde voor de NSO groep) niet gewoon worden aangepakt omdat ze misdrijven faciliteren.

Hoezo misdrijven? Ze verkopen aan overheidsinstanties. Dan ga ik ervan uit dat dit in het betreffende land legaal is. Wat legaal is bepaald een land nml zelf.

Ze verkopen ook aan nederland. Terwijl het gebruik ervan illegaal is ook Voor overheden is het illegaal. Ook al beweren ze zelf van niet. Want de overheid mag alles en de brave burger niets.
20-10-2021, 16:37 door Anoniem
Door Anoniem:
Door Briolet:
Door Anoniem: Is dit niet gewoon medeplichtigheid?
Ik vind het nog steeds apart dat dit soort bedrijven (hetzelfde voor de NSO groep) niet gewoon worden aangepakt omdat ze misdrijven faciliteren.

Hoezo misdrijven? Ze verkopen aan overheidsinstanties. Dan ga ik ervan uit dat dit in het betreffende land legaal is. Wat legaal is bepaald een land nml zelf.

Ze verkopen ook aan nederland. Terwijl het gebruik ervan illegaal is ook Voor overheden is het illegaal. Ook al beweren ze zelf van niet. Want de overheid mag alles en de brave burger niets.


Onder de noemer terr...isme mag alles tegenwoordig.

En euh, wat ga je doen? Rechtszaak tegen de staat?

Ja met die landsadvocaat van Pels Rijcken en op basis van ervaringen met de Viruswaarheid rechtszaken wens ik je veel sterkte. Je zal het nodig hebben
23-10-2021, 17:15 door Anoniem
Het lijkt het Napoleontische recht wel, elke burger is a priori schuldig tot deze zelf heeft bewezen onschuldig te zijn.

De overheid en overheidsdiensten zijn hiervan uitgezonderd, ze staat boven de wet.

#sockpuppet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.