向政府出售Zero-day的初创公司出价100万美元收购Tor黑客

2020-09-01 20:51:28

一家臭名昭著的初创公司向安全研究人员提供高达100万美元的奖励,这些研究人员可以发现漏洞并开发技术来利用匿名网络冲浪工具Tor Browser。

周三,总部位于美国的Zerodium公司宣布了这一新的赏金。Zerodium从研究人员手中购买漏洞,并将其专门出售给政府客户。最高悬赏为25万美元,该漏洞利用允许攻击者侵入在Linux Tails和Windows上使用具有高安全性设置的Tor浏览器的目标,从而授予攻击者对目标计算机的最高权限。其他奖励从75,000美元(只适用于Windows或Tails,并且只允许使用Javascript,例如,使它们更容易开发)到20万美元不等。

Zerodium的首席执行官兼创始人Chaouki Bekrar在一次在线聊天中告诉Motherboard,我们需要很多漏洞,因为我们有很多客户,他们有很多持续的行动,打击在Tor上进行的非法活动,";Chaouki Bekrar,Zerodium的首席执行官兼创始人在一次在线聊天中告诉Motherboard。我们的政府客户对Tor漏洞的需求更高,因为他们在Tor上面临更多的非法活动,他们必须采取行动。

在声明中,Zerodium特别指出贩毒或虐待儿童是丑陋的人如何使用Tor的例子。该公司表示,除非在此之前支付金额达到100万美元,否则赏金有效期至11月30日。通常,错误赏金计划没有到期日。

Zerodium因向iPhone等目标提供高额奖金和赏金而臭名昭著。2015年,也就是Zerodium推出后不久,它悬赏100万美元给任何能开发出远程入侵iPhone技术的人。当挑战结束时,该公司声称一组黑客能够领取赏金。Zerodium总是拒绝讨论其客户的身份或与之打交道的研究。

毫无疑问,情报和执法机构对这种利用的需求是存在的。去年,欧洲警察使用一个未知的Firefox漏洞-即Zero-day,对一个名为GiftBox Exchange的儿童色情网站的用户进行了黑客攻击。但一些人认为,Zerodium抢占新闻头条的价格只是一种营销噱头。

我不认为[价格]准确地反映了Tor浏览器作为一个安全系统的情况,一位了解攻击市场、要求匿名的安全研究人员告诉“主板”(Motherboard)。这些价格都是市场价。

上个月,当Zerodium宣布了新的价格和奖励,为类似的Tor浏览器和Chrome漏洞提供相同金额(10万美元)的奖金时,Tor的开发者和密码学家Isis Lovecruft告诉Motherboard,这可能都是一种公关噱头,目的是让像我们这样的人关注他们愚蠢的0day囤积初创公司:)。

作为对这种批评的回应,贝克拉尔说,价格很高,因为没有JavaScript的开发是困难的,而且需要[本地特权升级]才能获得最高的支付。

开发和维护Tor浏览器的Tor项目的一位发言人表示,赏金数额证明了我们提供的安全保障。

斯蒂芬妮·怀特(Stephanie White)在一封电子邮件中表示:我们认为,通过我们自己的漏洞赏金向我们披露任何漏洞,都符合包括政府机构在内的所有Tor用户的最佳利益。她指的是Tor自己的漏洞赏金,奖励金额高达4000美元。每天有超过150万人依赖Tor来保护他们的在线隐私,对一些人来说,这关系到他们的生死存亡。参与Zerodium的计划将使我们最危险的用户面临生命危险。

这篇报道已经更新,加入了Chaouki Bekrar和Tor Project的评论。

有线报吗?您可以通过Signal(+1 917 257 1382)、OTR Chat([email protected])或电子邮件[email protected]安全地联系本记者。

通过订阅我们的时事通讯,每天可以获得6个我们最喜欢的主板故事。

签署“色情通讯”,即表示您同意接收来自“色情通讯”的电子通讯,其中有时可能包括广告或赞助内容。