Уязвимости нулевого дня — очень ценный товар. Почти все крупные и многие мелкие разработчики программ платят несколько сотен или тысяч долларов за такую информацию. Ходят слухи, что гораздо больше можно заработать, продавая эксплоиты на чёрном рынке. Теперь эти слухи полностью подтвердились.
Среди документов взломанной Hacking Team (одно из зеркал) есть внутренняя переписка компании, в том числе с неким хакером из Москвы, который продавал эксплоиты и неплохо заработал над этим. Первое письмо с адреса tovis@bk.ru датируется 13 октября 2013 года. Оно было кратким. Специалист спрашивает, принимаются ли для продажи эксплоиты к последним версиям Flash Player, Silverlight, Java и Safari. Все эксплоиты успешно проходят самые продвинутые методы защиты вроде ASLR и DEP под Windows, OS X и iOS.
Исполнительный директор Hacking Team с радостью приветствовал нового поставщика и заверил его, что готов рассмотреть предложение.
Tovis написал, что у него есть шесть эксплоитов для Windows, OS X и iOS, каждый по цене от $30 тыс. до $45 тыс.
Стороны согласовали график оплаты, обменялись контактной информацией, PGP-ключами — и 29 октября 2013 года итальянская компания получила первый эксплоит для Flash Player и начала тестировать его. В тот же день она ответила, что качество эксплоита великолепное, он отлично сконструирован, легко настраивается, работает быстро и стабильно. Выплату осуществили немедленно: первый из трёх платежей по графику ушёл банковским переводом за «консалтинговые услуги» на счёт ИП, зарегистрированного на Симферопольском бульваре в Москве.
Российский хакер предложил скидки за оптовые заказы: $5000 на второй эксплоит и $10 тыс. на третий.
Возможно, именно этот 0-day Flash эксплоит компания Hacking Team использовала для своих программ, которые успешно работали до недавнего времени в правоохранительных структурах многих стран мира.
Комментируя взлом Hacking Team, российский хакер Виталий Топоров сказал: «Конечно, я такого не ожидал, но я не удивлён. Подобные утечки происходят постоянно. Мне даже не интересно, каким образом их взломали». Он также логично заметил, что Hacking Team в прошлые годы демонизировали, поэтому сейчас публика немного разочарована не слишком высоким качеством их программ. Сам он думал, что Hacking Team продаёт программы только в США и странах Евросоюза. Кто мог подумать, что среди клиентов компании окажутся спецслужбы по всему миру, в том числе в России.