Компания Operation Zero, которая позиционирует себя как российская платформа, занимающаяся приобретением и продажей 0-day эксплоитов для российского правительства и местных компаний, объявила, что ищет эксплоиты для мессенджера Telegram и готова предложить за них до 4 млн долларов США.

Брокер уязвимостей заявил, что готов заплатить до 500 000 долларов за one-click эксплоит для удаленного выполнения кода (RCE), до 1,5 млн долларов за zero-click эксплоит и до 4 млн долларов за «полную цепочку», что подразумевает несколько уязвимостей, объединение которых в цепочку позволит перейти от компрометации аккаунта в Telegram ко взлому всей ОС или устройства.

Как отмечает издание TechCrunch, интерес Operation Zero к уязвимостям нулевого дня в Telegram неудивителен, учитывая, что мессенджер «особенно популярен среди пользователей как в России, так и на Украине».

По информации издания, клиентами этого брокера уязвимостей в большинстве случаев выступают российские власти, и публикация цен на эксплоиты дает редкое представление о приоритетах на 0-day рынке России, о котором в целом известно немного. Журналисты полагают, что публикация этого сообщения с расценками свидетельствует о том, у российского правительства есть запрос на поиск багов в Telegram, что и побудило Operation Zero дать такую рекламу. То есть в компании уверены, что могут предложить высокие выплаты, поскольку заказчики готовы платить за уязвимости даже больше.

TechCrunch ссылается на пожелавшего сохранить анонимность эксперта, который знаком с рынком эксплоитов. Он заявил изданию, что названные Operation Zero цены на баги в Telegram «немного занижены». Специалист допустил, что это может быть обусловлено тем, что компания рассчитывает получить в два-три раза больше, когда будет перепродавать эксплоиты.

Другой анонимный специалист, работающий в 0-day индустрии, сообщил, что расценки Operation Zero не выглядят сильно завышенными. Он отметил, что на стоимость эксплоитов влияют такие факторы, как эксклюзивность, а также тот факт, что Operation Zero собирается повторно продавать эксплоиты как брокер.

После того как реклама Operation Zero привлекла внимание СМИ, в пресс-службе Telegram сообщили изданию «Код Дурова», что мессенджер «никогда не был уязвим к zero-click эксплоитам».

Представители Telegram заявили, что открытый исходный код приложения и документированные протоколы шифрования проверены исследователями на безопасность, и подчеркнули, что Telegram — единственный мессенджер, у которого есть проверяемые приложения.

«Тот факт, что за его [эксплоита] обнаружение предлагаются деньги, говорит только о том, что они не смогли этого сделать», — сообщила пресс-служба мессенджера.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии