Bedrijf biedt tot drie miljoen dollar voor zero-days in Android of iOS

Een nieuw bedrijf genaamd Crowdfense zegt een budget van tien miljoen dollar te hebben voor onbekende kwetsbaarheden in Android, iOS, macOS en Windows. Voor een zero-day in iOS of Android heeft het bedrijf tot drie miljoen dollar over.

Het bedrijf dat is gevestigd in Dubai spreekt zelf van een bugbounty-programma en claimt in een persbericht dat het de kwetsbaarheden inkoopt om beveiliging te verbeteren. Crowdfense meldt op zijn website echter ook dat het kwetsbaarheden verkoopt aan derden.

Daarbij stelt het bedrijf dat zijn platform alleen beschikbaar is voor een 'zorgvuldig doorgelichte groep institutionele entiteiten'. De directeur van Crowdfense zegt in een interview met Motherboard dat hij de kwetsbaarheden wil verkopen aan inlichtingendiensten.

Voor een zero-day in Android of iOS waarbij zonder interactie van de gebruiker volledige toegang tot het besturingssysteem mogelijk is, looft het bedrijf een bounty van 3 miljoen dollar uit. Een vergelijkbare kwetsbaarheid waarbij de gebruiker één keer moet klikken in Safari of Chrome levert tot 2,5 miljoen dollar op bij iOS en tot 2 miljoen dollar bij Android.

Er zijn meer bedrijven die hoge bedragen over hebben voor zero-daykwetsbaarheden, zoals Zerodium, dat tot 1,5 miljoen dollar uitlooft. Crowdfense is enkel geïnteresseerd in kwetsbaarheden in Android, iOS, macOS en Windows.

Crowdfense

Door Julian Huijbregts

Nieuwsredacteur

Feedback • 27-04-2018 11:34 62

27-04-2018 • 11:34

62

Lees meer

Onderzoeker kon toegang krijgen tot Apple-accounts door kwetsbaarheid in TouchID
Onderzoeker kon toegang krijgen tot Apple-accounts door kwetsbaarheid in TouchID Nieuws van 3 augustus 2020
Apple geeft iPhones met minder restricties aan beveiligingsonderzoekers
Apple geeft iPhones met minder restricties aan beveiligingsonderzoekers Nieuws van 23 juli 2020
Sony start PlayStation-bugbountyprogramma met beloningen tot 50.000 dollar
Sony start PlayStation-bugbountyprogramma met beloningen tot 50.000 dollar Nieuws van 25 juni 2020
Microsoft start Xbox-bugbountyprogramma met beloningen tot 20.000 dollar
Microsoft start Xbox-bugbountyprogramma met beloningen tot 20.000 dollar Nieuws van 31 januari 2020
Zerodium-prijs Android-bug is met 2,5 miljoen dollar voor eerst hoger dan iOS
Zerodium-prijs Android-bug is met 2,5 miljoen dollar voor eerst hoger dan iOS Nieuws van 5 september 2019
Kwetsbaarheden in iOS werden jarenlang gebruikt om iPhones te bespioneren
Kwetsbaarheden in iOS werden jarenlang gebruikt om iPhones te bespioneren Nieuws van 30 augustus 2019
Steam patcht in bèta-update zeroday die privilege escalation mogelijk maakte
Steam patcht in bèta-update zeroday die privilege escalation mogelijk maakte Nieuws van 11 augustus 2019
Apple verhoogt maximale bugbountybeloning voor iOS naar miljoen dollar
Apple verhoogt maximale bugbountybeloning voor iOS naar miljoen dollar Nieuws van 8 augustus 2019
Google dicht kwetsbaarheid in Chrome-browser die actief misbruikt wordt
Google dicht kwetsbaarheid in Chrome-browser die actief misbruikt wordt Nieuws van 7 maart 2019
Amerikaans Cert waarschuwt voor op Twitter verschenen Windows-zero-day
Amerikaans Cert waarschuwt voor op Twitter verschenen Windows-zero-day Nieuws van 28 augustus 2018
Overheid gaat gebruik zero-days door AIVD en MIVD toetsen
Overheid gaat gebruik zero-days door AIVD en MIVD toetsen Nieuws van 15 maart 2018
Zerodium biedt tot half miljoen dollar voor Signal- of WhatsApp-exploits
Zerodium biedt tot half miljoen dollar voor Signal- of WhatsApp-exploits Nieuws van 24 augustus 2017
Wetsvoorstel VS dwingt NSA om overheidsorganen te informeren over zero-days
Wetsvoorstel VS dwingt NSA om overheidsorganen te informeren over zero-days Nieuws van 18 mei 2017
Shadowbrokers kondigen abonnement op exploits aan
Shadowbrokers kondigen abonnement op exploits aan Nieuws van 16 mei 2017
Onderzoeker stelt dat Samsungs besturingssysteem Tizen veertig zero-days bevat
Onderzoeker stelt dat Samsungs besturingssysteem Tizen veertig zero-days bevat Nieuws van 3 april 2017
'Kabinet wil dat politiehackers zero-days verzwijgen met het oog op hergebruik'
'Kabinet wil dat politiehackers zero-days verzwijgen met het oog op hergebruik' Nieuws van 21 oktober 2016
Bedrijf biedt tot 500.000 dollar beloning voor iOS 9.3-zero days
Bedrijf biedt tot 500.000 dollar beloning voor iOS 9.3-zero days Nieuws van 10 augustus 2016
Meer producten en artikelen
Netwerk en systeembeheer Apple Google Android iOS Hack Security

Reacties (62)

-Moderatie-faq
62
60
49
0
0
4
Wijzig sortering
Itrme 27 april 2018 11:55
Voor dezelfde exploits krijg je van betreffende ontwikkelaars een stuk minder. Voor meer verkopen aan een externe partij is op zijn minst dubieus te noemen.

Mijn vraag: is het niet illegaal wat dit bedrijf doet? Neem zoiezo aan dat dit tegen de ToS is van deze besturingssystemen.

Also veiligheid verhogen en de exploits verkopen aan andere instanties dan de ontwikkelaar is lekker tegenstrijdig. |:(
Verwijderd @Itrme27 april 2018 12:44
Mijn vraag: is het niet illegaal wat dit bedrijf doet? Neem zoiezo aan dat dit tegen de ToS is van deze besturingssystemen.
Ik denk het niet. Stel dat je een zware bug vindt door vijf keer op een icon te drukken. De informatie die het bedrijf dan koopt ('druk vijf keer op dat icon' ) kan op geen enkele manier illegaal zijn. Slechts het gebruik kan strafbaar zijn.

Immoreel zeker wel. Dit roept op tot het zoeken van zwakheden om te misbruiken en zal beta testen enorm behinderen. Een beta tester die nu iets vind zou het geheim kunnen houden tot het na release opeens veel geld waard is.
David Mulder @Verwijderd27 april 2018 18:19
Uitlokken en faciliteren kan wel degelijk illegaal zijn hoor, geen flauw idee waar je het idee vandaan hebt dat enkel het gebruik er van illegaal kan zijn.
Verwijderd @David Mulder28 april 2018 12:38
Veel geluk als je morgen een inlichtingendienst wil aanklagen hiervoor :-) ik zie het al volledig voor mij 8)7
David Mulder @Verwijderd28 april 2018 16:12
We hebben het hier over een commercieel bedrijf en black hat hackers die voor dat bedrijf indirect werken. Dat bedrijf zit in Israel waar het waarschijnlijk volledig wettelijk is (koop en verkoop van dergelijke informatie), maar de black hat hackers die voor hun werken is een ander verhaal.
BlaDeKke @Verwijderd27 april 2018 16:11
Daar heb ik zelfs nog niet aan gedacht, met zo'n hoge bedragen gooien werkt dit wel enorm in de hand.
Itrme @Verwijderd27 april 2018 17:16
Maar het gaat hier niet om simpele bugs. Het gaat zo te zien specifiek om beveiligingslekken of exploits.
Dingen die je als gebruiker absoluut niet in de handen ziet van de overheid, veiligheidsdiensten etc.
3raser @Verwijderd30 april 2018 11:26
Stel dat je een zware bug vindt door vijf keer op een icon te drukken.
Deze hoge beloningen gelden juist voor zero-days met 0 clicks. Oftewel, zonder interactie van de gebruiker. Kun je dan nog steeds stellen dat je een instructie voor een bepaalde handeling verkoopt?
jpsch @Itrme27 april 2018 12:02
Denk dat de doelgroep van een 'zorgvuldig doorgelichte groep institutionele entiteiten' het legaal maakt. Gevoelsmatig voelt het wel tegenstrijdig.
Ayporos @jpsch27 april 2018 18:12
De Russische/Chinese/Saudi-Arabische overheden zouden vallen onder die 'zorgvuldig doorgelichte groep institutionele entiteiten' maar toch zie ik liever geen zero-day exploits en backdoors in hun handen :+
mae-t.net @jpsch28 april 2018 03:16
Nou, verkopen aan een Rus maakt het voor een Amerikaan niet legaal hoor ;)
suf @mae-t.net28 april 2018 23:36
Dat is wel hoe de meeste diensten pseudo-legaal hun zin krijgen: CIA mag geen VS staatsburgers afluisteren, Israel wel en heeft de info aan de Amerikanen .
.oisyn Moderator Devschuur® @Itrme27 april 2018 15:24
Neem zoiezo aan dat dit tegen de ToS is van deze besturingssystemen.
Wat heeft dat bedrijf daarmee te maken dan? Ze zijn toch geen gebruikers van de besturingssystemen?
mae-t.net @Itrme28 april 2018 03:15
Mijn vraag: is het niet illegaal wat dit bedrijf doet? Neem zoiezo aan dat dit tegen de ToS is van deze besturingssystemen.
Het bedrijf heeft de ToS nooit hoeven accepteren. Bovendien zijn zowel het civiel- als strafrecht per land verschillend en erkennen landen elkaars rechtspraak vaak ook niet. Ik verwacht niet dat er iemand uit Dubai aan de VS zal worden uitgeleverd omdat een rechter een Appeltje met hem te schillen heeft.
Chuk 27 april 2018 13:27
Tja, stel je voor, je vind een exploit en verkoopt hem. Ben je plots wel goed binnen. Vraag me eigenlijk af hoe het met de belastingen zou zijn als je deze bounty opstrijkt.Happen ze daar ook al snel 50% af?
Luxx @Chuk27 april 2018 15:00
Als je het netjes opgeeft, wordt het denk ik als freelance werk belast, en betaal je dus dik.
Ik vermoed dat je vast wel kan bedingen dat ze je in bitcoin ofzo uitbetalen als je daarom vraagt, en dan kan je het ook wel zwart belastingvrij houden. Als je in deze markt met deze bedrijven werkt, dan lijkt me dat je eventueel etnische bezwaren daarover wel overboord kan zetten😉
Enige nadeel is dat je het dan wel beperkt kan uitgeven of ook weer inlevert bij het witwassen.
mr.Millenarian @Luxx27 april 2018 18:18
Je noemt als
Enige nadeel is dat je het dan wel beperkt kan uitgeven of ook weer inlevert bij het witwassen.
Maar je vergeet te vermelden dat naast meewerken aan illegale activiteiten ook als met jou vinding via via bedrijven, personen of overheden worden benadeeld dit vervolgd kan worden. Zeker als je hiervoor betaald bent en je daarnaast dit inkomen niet hebt opgegeven of via criminele weg hebt witgewassen. Het maakt het hooguit iets lastiger op te sporen als je dit hebt gedaan via bitcoins.
Brousant @Chuk27 april 2018 15:05
Dit zal als inkomen uit werk gelden, en daar moet je inkomstenbelasting over betalen.
i-chat @Brousant27 april 2018 17:47
inkomen uit werk is weer heel breed, zo heb je bijv inkomen uit, loon, maar ook inkomen uit bedrijfsvoering, EN inkomen uit nevenactiviteiten, alle drie worden ze anders belast.

in dit geval gaat het vrijwel zeker, niet om loon, en zeer waarschijnlijk niet om inkomen uit bedrijf ... dan blijft inkomen uit overige over en laat dat nu de zwaarst-belaste inkomensgroep zijn.
Bonnom @Chuk28 april 2018 00:18
Even een bedrijf opzetten in curaçao en het namens het bedrijf verkopen. Betaal je bijna niks.
aadje93 27 april 2018 11:35
oftewel, hacker meld het aan bedrijf, kriijgt tot 3 miljoen, bedrijf verkoopt het door aan allerlei "instutionele" instellingen (lees overheden) en vangt per keer weer een miljoentje of meer. Mooi bedrijfsplan.
Bongoarnhem @aadje9327 april 2018 11:38
Een beetje hacker verkoopt hem ook 3x hoop ik dan :+ :+ :+ :+ :+ :+ :+
jpsch @Bongoarnhem27 april 2018 11:57
Een beetje hacker hackt Crowdfense......
Blokker_1999
@jpsch27 april 2018 13:14
Maar daar verdient ie niets aan
SillieWous @Blokker_199927 april 2018 13:51
Wel als je alle zero-days steelt en die weer door verkoopt (in dat geval niet aan Crowdfense want dan hebben ze je vrij snel door lijkt me).
jpsch @Blokker_199927 april 2018 13:53
Verkopen.
pasarica @Blokker_199927 april 2018 13:30
... eeuwige roem :+
nullbyte @pasarica27 april 2018 15:59
Versier je geen vrouwen mee, alleen nerds en tweakers. Die 3 miljoen keiharde pegels doen het beter.
lHawkinl @David Mulder27 april 2018 22:01
Ratio 1 op 500 zeker
nullbyte @David Mulder28 april 2018 13:47
Nee, maar laten we wel wezen. Hoeveel zijn dat er?
lepel @jpsch27 april 2018 13:20
Bij een bedrijf inbreken en potentieel bedrijfsgeheimen stelen is wel heel iets anders dan thuis je telefoon ontmantelen en naar fouten zoeken.
Soldaatje @Bongoarnhem27 april 2018 11:58
Ook criminelen willen hun eigen markt beschermen.
Iblies @Soldaatje27 april 2018 15:32
Als hacker zou je een man-in-the-middle willen hebben.

3 mln is geen kattenpis en zal echt een fundamentele fout moeten zijn die nergens anders bekend is.
Alleen zullen dat ook type fouten zijn waar geen geruchtbaarheid aan zal worden gegeven. De kans dat er een absolute geheimhoudingsplicht zal zijn is aanwezig. Als het vervolgen snel bekend wordt gemaakt zal men er zeker achteraan gaan, die is immers gelijk een stuk minder waard, zoniet waardeloos.


Vervolgens zit je met nog een probleem dat een foute meerdere keren wordt ontdekt.
De kans dat een dergelijk bedrijf een soortgelijk bedrag zal betalen is minimaal. Alleen als niemand betaalt gaat men voor de eer en ben je die alsnog kwijt.


Een beetje louche business, maar ik stimuleer het van harte,
hoogste bieder betaalt, meer mensen die zullen meedoen, grotere kans dat een fout meerdere keren wordt ontdekt en voor een appel en een ei wordt verkocht aan de juiste partij, OS’en worden sneller veiliger.
edeboeck @Iblies28 april 2018 12:44
Een beetje louche business, maar ik stimuleer het van harte,
hoogste bieder betaalt, meer mensen die zullen meedoen, grotere kans dat een fout meerdere keren wordt ontdekt en voor een appel en een ei wordt verkocht aan de juiste partij, OS’en worden sneller veiliger.
Net niet: Overheden en inlichtingsdiensten zijn er niets mee als dat lek gedicht wordt. Ik durf net het tegenovergestelde stellen: OS'en worden minder snel veilig, want wees maar zeker dat je als ontdekker van de zero-day NDA zal moeten ondertekenen.

[Reactie gewijzigd door edeboeck op 22 juli 2024 21:25]

Somoghi @Bongoarnhem27 april 2018 11:44
Eerst aan de overheden en dan aan crowdfence :+
itcouldbeanyone @Somoghi27 april 2018 20:37
Tjah zo kom je nog eens ergens.
Eerst met prive jet naar de us, dan bij putin op de koffie, en vervolgens bij Kim jung un in zn nucleair paradise.
Lijkt me niet verkeerd.

Maar vind eigenlijk dat geen bedrijf dit soort dingen mogen doen.
Als ik een lijst zou maken met iedereen dienzn sleutel onder de bloempot bewaard, kan ik dat dan ook legaal door verkopen aan de hoogste bieder ?
bbob
@Bongoarnhem27 april 2018 11:59
Tja uiteindelijk gaat het om het hebben van contacten.

Stel je bent hacker, hoera zero day gevonden.
Wat ga je dan doen, je belt het plaatselijke fbi kantoor, ik wil een zero day verkopen, of even met nsa of cia bellen. Dan moet je gaan onderhandelen, misschien nog wachten op je geld.

Lijkt me handiger aan een bureau als dit te verkopen, je beurt misschien iets minder maar minder gedoe.
Blokker_1999
@Bongoarnhem27 april 2018 11:45
Om het daarna te melden aan de devs zodat ze het kunnen patchen O-)
Verwijderd @mkools2427 april 2018 12:53
Vreemd tekentje en Apple had 2 maanden nodig voor een patch.
Shaidar @Verwijderd27 april 2018 13:46
Was dat vreemd tekentje dan een 0-day?
Verwijderd @Shaidar27 april 2018 13:48
Nog veel erger het was een simpele bug.
Single_Core @mkools2427 april 2018 13:55
Android zelf zal zeer rap gepatched zijn, wellicht zelfs rapper dan IOS.
De distributie ervan ligt bij de fabrikanten, iets waar je niet op Android moet gaan haten.

Kijk maar naar de Android One toestellen en de Pixels die zijn enorm rap gepatched :)
Mavamaarten @mkools2427 april 2018 15:39
Android security patches != Android updates ;)
Verwijderd 27 april 2018 12:50
Ik worstel met de vraag of dit ethisch wel kan. Aan de ene kant is het goed dat mensen worden aangespoord om kwetsbaarheden op te sporen. Aan de andere kan kun je je afvragen of het ok is wat de koper van die kennis er vervolgens mee doet.

Maar goed mocht ik er 1 vinden meldt ik me toch maar voor die 3 miljoen? Dan meer even niet-ethisch :)

[Reactie gewijzigd door Verwijderd op 22 juli 2024 21:25]

SillieWous @Verwijderd27 april 2018 13:54
Het een sluit het ander niet uit. Eerst 3 mil vangen en zodra die binnen is bij de ontwikkelaar melden (en daar ook weer geld vangen).
Luxx @SillieWous27 april 2018 14:52
Ik verwacht dat de kleine lettertjes dit verbieden... En veel kunnen ze natuurlijk niet doen als je het toch doet. Maar wil je ruzie maken met een obscure bedrijfje dat zich in het half? - criminele circuit bevindt en blijkbaar aardig wat geld heeft?
sympa @Luxx27 april 2018 19:43
Je hoopt maar dat ze 3 miljoen hebben. Wat als ze zeggen: dankjewel, doei?
dehardstyler @Luxx28 april 2018 04:12
Hoezo zou dat niet kunnen dan? Bewijs maar dat ik het nog een keer gemeld heb. :) Iedereen met verstand van zaken kan immers die exploit vinden. Ik pak eerst de 3 miljoen, daarna leg ik aan jou uit hoe het werkt en daarna dien jij het in bij de maker van de software en geef je mij nog eens 50%, iedereen blij, behalve de in mijn ogen bijna criminele organisatie die hier 3 miljoen voor bied. En dat dan alleen maar zodat de AIVD, NSA en consorten kunnen door gaan met het bespioneren van mensen.
ToolkiT 27 april 2018 13:02
Is het geen honeypot?
Luxx @ToolkiT27 april 2018 14:55
Leuke 'sociale honeypot' (tweaker denken meteen technisch), ben benieuwd of dat in Nederland zou mogen,l. Als honeypot zou je eerder verwachten dat ze uit een groot westers land opereren. Al zou dubai natuurlijk een dekmantel kunnen zijn.
hawke84 27 april 2018 17:13
Is dit niet bizar?...

Een bedrijf dat kwetsbaarheden inkoopt om ze door te verkopen aan 3e partijen met, wat ik alleen maar aan kan nemen, kwaadwillende doeleinden?

Die laatste stap, dat doorverkopen, dat moet toch op een of andere manier illegaal zijn?
CaffeineCipher @hawke8428 april 2018 11:38
Als ze het aan een inlichtingendienst verkopen, gaat die overheid je sowieso niet vervolgen. Als ze het in een aantal landen doen zit je redelijk goed.
StGermain 27 april 2018 11:42
Ik vind dit soort opzet eigenlijk immoreel, ipv dat de bugs gepatched worden gaan ze misbruikt worden om ons te bespioneren of erger.
Verwijderd 27 april 2018 13:12
Dit is toch oud nieuws? Het is al jaren bekend dat inlichtingendiensten miljoenen betalen voor een goede zero-day. Dit bedirjf is gewoon een doorgeefluik of misschien zelfs een facade voor een inlichtingendienst.
xiphoid 27 april 2018 14:05
Waarom zou je nog developer zijn bij deze bedrijven als het salaris minder is dan wat ze betalen aan mensen die misbruik van je code maken. Met zulke bedragen zullen kan ik me voorstellen dat er devs zijn die er bugs in laten en hun vrienden deze laat 'vinden'.
5pë©ïàál_Tèkén 27 april 2018 23:39
Het klinkt veel, die 3 miljoen Euro dollar, maar...

There is no loyalty among thieves - als het bedrijf betrapt wordt op iets strafbaars of onderzocht door een overheid, dan zullen ze (als het hen uitkomt) je naam zo maar opgeven. Niet alleen dat, maar ook het bankrekeningnummer waar ze het geld naar hebben overgemaakt (als ze dat al doen...).
Als het op een of andere manier uitkomt dat je een dergelijke zero day hebt 'verkocht', dan zal niemand ooit nog met je willen werken. Verhalen dat je daarna als white hat aan de slag kunt komen uit films, niet de realiteit.
Het is tevens allerhoogst onwaarschijnlijk dat een developer compleet in zijn eentje een dergelijke zero day in kaart weet te brengen, te documenteren en te verkopen. Daar zullen anderen bij betrokken zijn. En hoe meer mensen er in een complot/plan zitten, hoe meer kans op lekken. Ik zie een overheid er wel voor aan om met geld te wapperen in de hoop dat iemand zich meldt om de lekkende persoon te identificeren.

En mocht je met dit bedrijf (of een vergelijkbare tent) in zee gaan, dan kan het geen kwaad om de komende jaren ogen in je achtehoofd te kweken omdat je dan gewild bent voor je kennis. Neuh, ik zou het lekker braaf melden bij de developers, niet aan een schimmige toko waarvan duidelijk is dat ze geen integriteit hebben.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq