专门收购漏洞的资安公司Zerodium日前在Twitter上宣布,花百万美元收购iOS 9的漏洞之後,引起资安圈批评声浪不断,质疑是行销策略之後,近日Zerodium更进一步发布了各种漏洞收购价目表,更彻底的公开了过去向来是台面下交易的漏洞买卖。
AppleiOS漏洞最高50万美元
Android或Windows Phone漏洞10万美元
PDF、Flash、Chrome漏洞8万美元
VM、IE、Safari漏洞5万美元
相较于软体厂商祭出的漏洞提报奖励金,收购金额明显高于奖励金额,这也考验着找出漏洞者的道德良心,但也反映出,软体厂商,甚至企业面临的漏洞威胁,可能更大,因为漏洞销售开始形成台面化的产业链,更容易为善,但也可能更容易为恶。
Google单一漏洞最高15万美元
微软漏洞奖励计画单一漏洞最高10万美元
Line最高2万美元(远端操控漏洞)
先前骇客服务公司Hacking Team被骇走了400GB机密资料,导致各大软体业者纷纷修补漏洞,骇客们纷纷趁漏洞未补时潜入企业,就像是一批强力军火送到街头分送,不管受威胁或想围恶的人都惊动了。
就像是枪枝买卖,当人人有钱,就能买到攻击数位装置的数位军火(资安漏洞)时,缺乏了管制或监督机制,反而不一定是强化了资安厂商,也会武装了更多恶意份子。
京公网安备 11010502049343号