Компания Zerodium, которая щедро платит за эксплоиты для уязвимостей нулевого дня в различном ПО, но обладает специфической репутацией, сделала новое публичное предложение, от которого нельзя отказаться. Компания предлагает $500 тысяч (почти 33 миллиона рублей!) за информацию об уязвимостях в облачных технологиях, в частности, Microsoft Hyper-V и VMware vSphere.
Полную сумму выплатят только за полностью рабочие эксплоиты для уязвимостей нулевого дня в Hyper-V и vSphere, предоставляющие атакующему возможность выйти за пределы гостевой системы. Желаемые Zerodium’ом эксплоиты должны работать с дефолтными конфигурациями, быть надежными и предоставлять полный доступ к хосту.
Предложение будет действовать в течение нескольких месяцев, а затем в зависимости от числа приобретенных эксплоитов компания решит, сохранить текущие расценки или снизить сумму.
В начале января компания вдвое увеличила сумму выплат за эксплоиты для уязвимостей в мессенджерах WhatsApp, iMessage и SMS/MMS сервисах – до $1 млн, а также повысила вознаграждение за уязвимости в iOS (с $1,5 млн до $2 млн).
Microsoft Hyper-V — система аппаратной виртуализации для x64-систем на основе гипервизора, позволяющая запускать на одном физическом сервере множество виртуальных ОС.
VMware vSphere (ранее VMware Infrastructure 4) — платформа виртуализации для создания облачных инфраструктур. Обеспечивает стабильную работу важных бизнес‑приложений и возможность быстрее реагировать на изменения бизнес-требований.
В сентябре 2015 года компания Zerodium объявляла конкурс на $1 миллион для хакеров, которые смогут обнаружить 0day в iOS 9 и предоставит эксплоит. 2 ноября приз получила команда, осуществившая удаленный непривязанный джейлбрейк через браузер. Суть эксплоита публично не раскрывалась, Apple традиционно такие вещи не комментирует.
Как АКБ уже сообщало раньше, компания Zerodium была создана Чауки Бекраром в 2015 году, она предлагает самые щедрые в мире призы за обнаружение уязвимостей нулевого дня. Zerodium не скрывает, что затем перепродает эксплоиты правительственным агентствам и правоохранительным органам, а тематика конкурсов формируется из запросов клиентов