Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Bedrijf biedt tot drie miljoen dollar voor zero-days in Android of iOS

Een nieuw bedrijf genaamd Crowdfense zegt een budget van tien miljoen dollar te hebben voor onbekende kwetsbaarheden in Android, iOS, macOS en Windows. Voor een zero-day in iOS of Android heeft het bedrijf tot drie miljoen dollar over.

Het bedrijf dat is gevestigd in Dubai spreekt zelf van een bugbounty-programma en claimt in een persbericht dat het de kwetsbaarheden inkoopt om beveiliging te verbeteren. Crowdfense meldt op zijn website echter ook dat het kwetsbaarheden verkoopt aan derden.

Daarbij stelt het bedrijf dat zijn platform alleen beschikbaar is voor een 'zorgvuldig doorgelichte groep institutionele entiteiten'. De directeur van Crowdfense zegt in een interview met Motherboard dat hij de kwetsbaarheden wil verkopen aan inlichtingendiensten.

Voor een zero-day in Android of iOS waarbij zonder interactie van de gebruiker volledige toegang tot het besturingssysteem mogelijk is, looft het bedrijf een bounty van 3 miljoen dollar uit. Een vergelijkbare kwetsbaarheid waarbij de gebruiker één keer moet klikken in Safari of Chrome levert tot 2,5 miljoen dollar op bij iOS en tot 2 miljoen dollar bij Android.

Er zijn meer bedrijven die hoge bedragen over hebben voor zero-daykwetsbaarheden, zoals Zerodium, dat tot 1,5 miljoen dollar uitlooft. Crowdfense is enkel geïnteresseerd in kwetsbaarheden in Android, iOS, macOS en Windows.

Door Julian Huijbregts

Nieuwsredacteur

27-04-2018 • 11:34

62 Linkedin Google+

Reacties (62)

Wijzig sortering
Voor dezelfde exploits krijg je van betreffende ontwikkelaars een stuk minder. Voor meer verkopen aan een externe partij is op zijn minst dubieus te noemen.

Mijn vraag: is het niet illegaal wat dit bedrijf doet? Neem zoiezo aan dat dit tegen de ToS is van deze besturingssystemen.

Also veiligheid verhogen en de exploits verkopen aan andere instanties dan de ontwikkelaar is lekker tegenstrijdig. |:(
Mijn vraag: is het niet illegaal wat dit bedrijf doet? Neem zoiezo aan dat dit tegen de ToS is van deze besturingssystemen.
Ik denk het niet. Stel dat je een zware bug vindt door vijf keer op een icon te drukken. De informatie die het bedrijf dan koopt ('druk vijf keer op dat icon' ) kan op geen enkele manier illegaal zijn. Slechts het gebruik kan strafbaar zijn.

Immoreel zeker wel. Dit roept op tot het zoeken van zwakheden om te misbruiken en zal beta testen enorm behinderen. Een beta tester die nu iets vind zou het geheim kunnen houden tot het na release opeens veel geld waard is.
Uitlokken en faciliteren kan wel degelijk illegaal zijn hoor, geen flauw idee waar je het idee vandaan hebt dat enkel het gebruik er van illegaal kan zijn.
Veel geluk als je morgen een inlichtingendienst wil aanklagen hiervoor :-) ik zie het al volledig voor mij 8)7
We hebben het hier over een commercieel bedrijf en black hat hackers die voor dat bedrijf indirect werken. Dat bedrijf zit in Israel waar het waarschijnlijk volledig wettelijk is (koop en verkoop van dergelijke informatie), maar de black hat hackers die voor hun werken is een ander verhaal.
Daar heb ik zelfs nog niet aan gedacht, met zo'n hoge bedragen gooien werkt dit wel enorm in de hand.
Maar het gaat hier niet om simpele bugs. Het gaat zo te zien specifiek om beveiligingslekken of exploits.
Dingen die je als gebruiker absoluut niet in de handen ziet van de overheid, veiligheidsdiensten etc.
Stel dat je een zware bug vindt door vijf keer op een icon te drukken.
Deze hoge beloningen gelden juist voor zero-days met 0 clicks. Oftewel, zonder interactie van de gebruiker. Kun je dan nog steeds stellen dat je een instructie voor een bepaalde handeling verkoopt?
Denk dat de doelgroep van een 'zorgvuldig doorgelichte groep institutionele entiteiten' het legaal maakt. Gevoelsmatig voelt het wel tegenstrijdig.
De Russische/Chinese/Saudi-Arabische overheden zouden vallen onder die 'zorgvuldig doorgelichte groep institutionele entiteiten' maar toch zie ik liever geen zero-day exploits en backdoors in hun handen :+
Nou, verkopen aan een Rus maakt het voor een Amerikaan niet legaal hoor ;)
Dat is wel hoe de meeste diensten pseudo-legaal hun zin krijgen: CIA mag geen VS staatsburgers afluisteren, Israel wel en heeft de info aan de Amerikanen .
Neem zoiezo aan dat dit tegen de ToS is van deze besturingssystemen.
Wat heeft dat bedrijf daarmee te maken dan? Ze zijn toch geen gebruikers van de besturingssystemen?
Mijn vraag: is het niet illegaal wat dit bedrijf doet? Neem zoiezo aan dat dit tegen de ToS is van deze besturingssystemen.
Het bedrijf heeft de ToS nooit hoeven accepteren. Bovendien zijn zowel het civiel- als strafrecht per land verschillend en erkennen landen elkaars rechtspraak vaak ook niet. Ik verwacht niet dat er iemand uit Dubai aan de VS zal worden uitgeleverd omdat een rechter een Appeltje met hem te schillen heeft.
Tja, stel je voor, je vind een exploit en verkoopt hem. Ben je plots wel goed binnen. Vraag me eigenlijk af hoe het met de belastingen zou zijn als je deze bounty opstrijkt.Happen ze daar ook al snel 50% af?
Als je het netjes opgeeft, wordt het denk ik als freelance werk belast, en betaal je dus dik.
Ik vermoed dat je vast wel kan bedingen dat ze je in bitcoin ofzo uitbetalen als je daarom vraagt, en dan kan je het ook wel zwart belastingvrij houden. Als je in deze markt met deze bedrijven werkt, dan lijkt me dat je eventueel etnische bezwaren daarover wel overboord kan zetten😉
Enige nadeel is dat je het dan wel beperkt kan uitgeven of ook weer inlevert bij het witwassen.
Je noemt als
Enige nadeel is dat je het dan wel beperkt kan uitgeven of ook weer inlevert bij het witwassen.
Maar je vergeet te vermelden dat naast meewerken aan illegale activiteiten ook als met jou vinding via via bedrijven, personen of overheden worden benadeeld dit vervolgd kan worden. Zeker als je hiervoor betaald bent en je daarnaast dit inkomen niet hebt opgegeven of via criminele weg hebt witgewassen. Het maakt het hooguit iets lastiger op te sporen als je dit hebt gedaan via bitcoins.
Dit zal als inkomen uit werk gelden, en daar moet je inkomstenbelasting over betalen.
inkomen uit werk is weer heel breed, zo heb je bijv inkomen uit, loon, maar ook inkomen uit bedrijfsvoering, EN inkomen uit nevenactiviteiten, alle drie worden ze anders belast.

in dit geval gaat het vrijwel zeker, niet om loon, en zeer waarschijnlijk niet om inkomen uit bedrijf ... dan blijft inkomen uit overige over en laat dat nu de zwaarst-belaste inkomensgroep zijn.
Even een bedrijf opzetten in curaçao en het namens het bedrijf verkopen. Betaal je bijna niks.
oftewel, hacker meld het aan bedrijf, kriijgt tot 3 miljoen, bedrijf verkoopt het door aan allerlei "instutionele" instellingen (lees overheden) en vangt per keer weer een miljoentje of meer. Mooi bedrijfsplan.
Een beetje hacker verkoopt hem ook 3x hoop ik dan :+ :+ :+ :+ :+ :+ :+
Een beetje hacker hackt Crowdfense......
Wel als je alle zero-days steelt en die weer door verkoopt (in dat geval niet aan Crowdfense want dan hebben ze je vrij snel door lijkt me).
Versier je geen vrouwen mee, alleen nerds en tweakers. Die 3 miljoen keiharde pegels doen het beter.
Ratio 1 op 500 zeker
Nee, maar laten we wel wezen. Hoeveel zijn dat er?
Bij een bedrijf inbreken en potentieel bedrijfsgeheimen stelen is wel heel iets anders dan thuis je telefoon ontmantelen en naar fouten zoeken.
Ook criminelen willen hun eigen markt beschermen.
Als hacker zou je een man-in-the-middle willen hebben.

3 mln is geen kattenpis en zal echt een fundamentele fout moeten zijn die nergens anders bekend is.
Alleen zullen dat ook type fouten zijn waar geen geruchtbaarheid aan zal worden gegeven. De kans dat er een absolute geheimhoudingsplicht zal zijn is aanwezig. Als het vervolgen snel bekend wordt gemaakt zal men er zeker achteraan gaan, die is immers gelijk een stuk minder waard, zoniet waardeloos.


Vervolgens zit je met nog een probleem dat een foute meerdere keren wordt ontdekt.
De kans dat een dergelijk bedrijf een soortgelijk bedrag zal betalen is minimaal. Alleen als niemand betaalt gaat men voor de eer en ben je die alsnog kwijt.


Een beetje louche business, maar ik stimuleer het van harte,
hoogste bieder betaalt, meer mensen die zullen meedoen, grotere kans dat een fout meerdere keren wordt ontdekt en voor een appel en een ei wordt verkocht aan de juiste partij, OS’en worden sneller veiliger.
Een beetje louche business, maar ik stimuleer het van harte,
hoogste bieder betaalt, meer mensen die zullen meedoen, grotere kans dat een fout meerdere keren wordt ontdekt en voor een appel en een ei wordt verkocht aan de juiste partij, OS’en worden sneller veiliger.
Net niet: Overheden en inlichtingsdiensten zijn er niets mee als dat lek gedicht wordt. Ik durf net het tegenovergestelde stellen: OS'en worden minder snel veilig, want wees maar zeker dat je als ontdekker van de zero-day NDA zal moeten ondertekenen.

[Reactie gewijzigd door edeboeck op 28 april 2018 12:45]

Eerst aan de overheden en dan aan crowdfence :+
Tjah zo kom je nog eens ergens.
Eerst met prive jet naar de us, dan bij putin op de koffie, en vervolgens bij Kim jung un in zn nucleair paradise.
Lijkt me niet verkeerd.

Maar vind eigenlijk dat geen bedrijf dit soort dingen mogen doen.
Als ik een lijst zou maken met iedereen dienzn sleutel onder de bloempot bewaard, kan ik dat dan ook legaal door verkopen aan de hoogste bieder ?
Tja uiteindelijk gaat het om het hebben van contacten.

Stel je bent hacker, hoera zero day gevonden.
Wat ga je dan doen, je belt het plaatselijke fbi kantoor, ik wil een zero day verkopen, of even met nsa of cia bellen. Dan moet je gaan onderhandelen, misschien nog wachten op je geld.

Lijkt me handiger aan een bureau als dit te verkopen, je beurt misschien iets minder maar minder gedoe.
Om het daarna te melden aan de devs zodat ze het kunnen patchen O-)
Vreemd tekentje en Apple had 2 maanden nodig voor een patch.
Was dat vreemd tekentje dan een 0-day?
Nog veel erger het was een simpele bug.
Android zelf zal zeer rap gepatched zijn, wellicht zelfs rapper dan IOS.
De distributie ervan ligt bij de fabrikanten, iets waar je niet op Android moet gaan haten.

Kijk maar naar de Android One toestellen en de Pixels die zijn enorm rap gepatched :)
Android security patches != Android updates ;)
Ik worstel met de vraag of dit ethisch wel kan. Aan de ene kant is het goed dat mensen worden aangespoord om kwetsbaarheden op te sporen. Aan de andere kan kun je je afvragen of het ok is wat de koper van die kennis er vervolgens mee doet.

Maar goed mocht ik er 1 vinden meldt ik me toch maar voor die 3 miljoen? Dan meer even niet-ethisch :)

[Reactie gewijzigd door KwarmerDam op 27 april 2018 14:12]

Het een sluit het ander niet uit. Eerst 3 mil vangen en zodra die binnen is bij de ontwikkelaar melden (en daar ook weer geld vangen).
Ik verwacht dat de kleine lettertjes dit verbieden... En veel kunnen ze natuurlijk niet doen als je het toch doet. Maar wil je ruzie maken met een obscure bedrijfje dat zich in het half? - criminele circuit bevindt en blijkbaar aardig wat geld heeft?
Je hoopt maar dat ze 3 miljoen hebben. Wat als ze zeggen: dankjewel, doei?
Hoezo zou dat niet kunnen dan? Bewijs maar dat ik het nog een keer gemeld heb. :) Iedereen met verstand van zaken kan immers die exploit vinden. Ik pak eerst de 3 miljoen, daarna leg ik aan jou uit hoe het werkt en daarna dien jij het in bij de maker van de software en geef je mij nog eens 50%, iedereen blij, behalve de in mijn ogen bijna criminele organisatie die hier 3 miljoen voor bied. En dat dan alleen maar zodat de AIVD, NSA en consorten kunnen door gaan met het bespioneren van mensen.
Is het geen honeypot?
Leuke 'sociale honeypot' (tweaker denken meteen technisch), ben benieuwd of dat in Nederland zou mogen,l. Als honeypot zou je eerder verwachten dat ze uit een groot westers land opereren. Al zou dubai natuurlijk een dekmantel kunnen zijn.
Is dit niet bizar?...

Een bedrijf dat kwetsbaarheden inkoopt om ze door te verkopen aan 3e partijen met, wat ik alleen maar aan kan nemen, kwaadwillende doeleinden?

Die laatste stap, dat doorverkopen, dat moet toch op een of andere manier illegaal zijn?
Als ze het aan een inlichtingendienst verkopen, gaat die overheid je sowieso niet vervolgen. Als ze het in een aantal landen doen zit je redelijk goed.
Ik vind dit soort opzet eigenlijk immoreel, ipv dat de bugs gepatched worden gaan ze misbruikt worden om ons te bespioneren of erger.
Dit is toch oud nieuws? Het is al jaren bekend dat inlichtingendiensten miljoenen betalen voor een goede zero-day. Dit bedirjf is gewoon een doorgeefluik of misschien zelfs een facade voor een inlichtingendienst.
Waarom zou je nog developer zijn bij deze bedrijven als het salaris minder is dan wat ze betalen aan mensen die misbruik van je code maken. Met zulke bedragen zullen kan ik me voorstellen dat er devs zijn die er bugs in laten en hun vrienden deze laat 'vinden'.
Het klinkt veel, die 3 miljoen Euro dollar, maar...

There is no loyalty among thieves - als het bedrijf betrapt wordt op iets strafbaars of onderzocht door een overheid, dan zullen ze (als het hen uitkomt) je naam zo maar opgeven. Niet alleen dat, maar ook het bankrekeningnummer waar ze het geld naar hebben overgemaakt (als ze dat al doen...).
Als het op een of andere manier uitkomt dat je een dergelijke zero day hebt 'verkocht', dan zal niemand ooit nog met je willen werken. Verhalen dat je daarna als white hat aan de slag kunt komen uit films, niet de realiteit.
Het is tevens allerhoogst onwaarschijnlijk dat een developer compleet in zijn eentje een dergelijke zero day in kaart weet te brengen, te documenteren en te verkopen. Daar zullen anderen bij betrokken zijn. En hoe meer mensen er in een complot/plan zitten, hoe meer kans op lekken. Ik zie een overheid er wel voor aan om met geld te wapperen in de hoop dat iemand zich meldt om de lekkende persoon te identificeren.

En mocht je met dit bedrijf (of een vergelijkbare tent) in zee gaan, dan kan het geen kwaad om de komende jaren ogen in je achtehoofd te kweken omdat je dan gewild bent voor je kennis. Neuh, ik zou het lekker braaf melden bij de developers, niet aan een schimmige toko waarvan duidelijk is dat ze geen integriteit hebben.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True