Zerodium, een bedrijf dat zeroday-exploits van onderzoekers inkoopt en vervolgens aan andere partijen aanbiedt heeft nu ook beloningen uitgeloofd voor zerodaylekken in de Windowsapplicaties van vpn-aanbieders ExpressVPN, NordVPN en Surfshark.

Er wordt gezocht naar kwetsbaarheden waardoor informatie is te achterhalen, het echte ip-adres van gebruikers zichtbaar wordt en erop afstand code op het systeem van gebruikers is uit te voeren. De zeroday-exploits die Zerodium inkoopt worden doorverkocht aan klanten van het bedrijf. Op de eigen website laat Zerodium weten dat het aan overheidsinstanties levert, voornamelijk uit Europa en de Verenigde Staten.

Bedragen voor de gezochte zerodaylekken in de vpn-applicaties zijn niet genoemd. Op dit moment biedt Zerodium voor een aanval waardoor Androidtelefoons op afstand zonder interactie van gebruikers zijn over te nemen een beloning van 2,5 miljoen dollar. Een zelfde aanval tegen iPhones levert 2 miljoen dollar op. Voor een aanval waardoor Windowssystemen zonder interactie van gebruikers op afstand zijn over te nemen betaalt het bedrijf 1 miljoen dollar.

Burgerrechtenbewegingen zoals de EFF en Bits of Freedom en privacyonderzoekers hebben in het verleden vaak kritiek geuit op bedrijven als Zerodium. Het zou onduidelijk zijn waar de exploits terechtkomen en wie er gebruik van maken. Ook worden de softwareontwikkelaars in kwestie niet geïnformeerd, waardoor alle gebruikers van een bepaald platform risico lopen.