Heb je een kwetsbaarheid gevonden in WhatsApp, iMessage, Telegram of Signal? Dan kun je daar tot 500.000 dollar voor krijgen. Dat is wat het bedrijf Zerodium biedt voor zogenaamde zero-days, kwetsbaarheden die misbruikt kunnen worden en nog niet door de maker van de software zijn ontdekt.
Ook voor kwetsbaarheden in andere chatapps, zoals WeChat, Viber en Facebook Messenger, keert het bedrijf tot een half miljoen dollar uit. Zerodium biedt hetzelfde bedrag ook voor kwetsbaarheden in sms en de e-mailapp op zowel iOS als Android. Het bedrijf heeft de ‘beloningen’ die het voor zero-days biedt gisteren geüpdatet.
Of hackers of beveiligingsonderzoekers in zee willen gaan met Zerodium, is afhankelijk van hun morele kompas. De makers van software bieden ook vaak beloningen voor zero-days, maar die zijn niet altijd even hoog. Kies je als hacker dus voor het geld, of voor de beveiliging van miljoenen software-gebruikers?
Zerodium
Zerodium werd in 2015 opgericht en is gevestigd in de Verenigde Staten. Het bedrijf zegt zich te onderscheiden door niet zomaar elke zero-day te kopen, maar te kijken naar de kwaliteit ervan. Ook beweert het bedrijf dat hackers die burger zijn of wonen in een land waartegen namens de Verenigde Staten of de Verenigde Naties sancties gelden, hun research niet mogen aanbieden.
Wie precies tot de klantenkring van het bedrijf behoren, is niet bekend. Het gaat om “grote organisaties op het gebied defensie, technologie en financiën die bescherming voor zero-days nodig hebben”, schrijft Zerodium op zijn website. “Maar ook om overheidsorganisaties die specifieke methoden gebruiken.”