Het bedrijf Exodus Intelligence, dat zich specialiseert in het vinden van lekken in software en het ontwikkelen van exploits, heeft de recent ontdekte Firefox-exploit verkocht aan een beveiligingsbedrijf. Daarmee konden Tor-gebruikers ontmaskerd worden.
Zowel Forbes als Motherboard schrijven op basis van eigen bronnen dat Exodus de exploit vorig jaar aan het beveiligingsbedrijf Fortinet heeft verkocht. Dat bedrijf maakte destijds in een tweet bekend dat het de signature van de exploit aan zijn beschermingssoftware had toegevoegd. Exodus zegt in een reactie tegen Forbes dat het nog onderzoekt hoe de exploit deze week heeft kunnen uitlekken en hoe deze werd gebruikt. De ceo van het bedrijf legt uit 'dat het niet elke kwetsbaarheid aan softwareontwikkelaars kan melden, zonder zijn onderzoekers voor het hoofd te stoten of de normale manier van zakendoen te verstoren'.
Christopher Soghoian, onderzoeker bij de Amerikaanse burgerrechtenorganisatie ACLU, zegt tegen Forbes dat het onbedoeld uitlekken van kwetsbaarheden aantoont wat voor risico deze voor burgers kunnen vormen. Desondanks zouden de overheid en zijn leveranciers met het gebruik ervan wegkomen, zonder dat hen iets verweten kan worden. Mozilla, dat eerder deze week een patch uitbracht voor de kwetsbaarheid, schreef naar aanleiding van de ontdekking dat 'zogenaamde beperkte hacks door de overheid een groot probleem kunnen worden voor het gehele internet'. Een van de bronnen vertelt aan Motherboard dat ongeveer 95 procent van de klanten van Exodus opsporingsdiensten zijn.
Begin deze week werd bekend dat de FBI een onbekend Firefox-lek had gebruikt om verdachten in een kinderpornozaak op te sporen. Hierdoor kon de opsporingsdienst onder andere het ip-adres van gebruikers van de op Firefox gebaseerde Tor-browser achterhalen. Het is niet duidelijk of het bij het lek om dezelfde kwetsbaarheid gaat waarvoor Mozilla woensdag een patch uitbracht.
In Nederland speelt eveneens een discussie rond het geheimhouden van kwetsbaarheden in software door opsporingsdiensten. In november meldde het kabinet dat de politie in bepaalde gevallen lekken geheim mag houden als dat in het belang van het onderzoek is. Deze bevoegdheid is opgenomen in de zogenaamde 'hackwet', waarover de Tweede Kamer binnenkort stemt. Twee Kamerleden dienden donderdag een amendement in, waarmee zij het gebruik van lekken door de politie uit het wetsvoorstel willen halen.
:strip_exif()/i/2000610914.jpeg?f=fpa)
:strip_exif()/i/1240962717.gif?f=fpa)
/i/1375792693.png?f=fpa)
:strip_exif()/i/1311148330.gif?f=fpa)
:strip_exif()/i/1149088707.gif?f=fpa)
:strip_exif()/i/1264755098.gif?f=fpa)
/u/441020/crop577ad2276cade.png?f=community){kind=small}
:strip_icc():strip_exif()/u/41502/breezah.jpg?f=community){kind=small}
/u/265663/clint2.png?f=community){kind=small}
/u/466919/Tweakers_p9_v2.png?f=community){kind=small}
:strip_exif()/u/467778/crop5d7a5dd1f296a.gif?f=community){kind=small}
/u/217510/crop660db19c1cf7b_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/624557/crop5fda1050278f3_cropped.jpeg?f=community){kind=small}
/u/7153/Spy_user_agent_webroot_undercover_sweeper_stag.png?f=community){kind=small}