專門收購漏洞的資安公司Zerodium日前在Twitter上宣布,花百萬美元收購iOS 9的漏洞之後,引起資安圈批評聲浪不斷,質疑是行銷策略之後,近日Zerodium更進一步發(fā)布了各種漏洞收購價目表,更徹底的公開了過去向來是臺面下交易的漏洞買賣。
AppleiOS漏洞最高50萬美元
Android或Windows Phone漏洞10萬美元
PDF、Flash、Chrome漏洞8萬美元
VM、IE、Safari漏洞5萬美元
相較于軟體廠商祭出的漏洞提報獎勵金,收購金額明顯高于獎勵金額,這也考驗著找出漏洞者的道德良心,但也反映出,軟體廠商,甚至企業(yè)面臨的漏洞威脅,可能更大,因為漏洞銷售開始形成臺面化的產業(yè)鏈,更容易為善,但也可能更容易為惡。
Google單一漏洞最高15萬美元
微軟漏洞獎勵計畫單一漏洞最高10萬美元
Line最高2萬美元(遠端操控漏洞)
先前駭客服務公司Hacking Team被駭走了400GB機密資料,導致各大軟體業(yè)者紛紛修補漏洞,駭客們紛紛趁漏洞未補時潛入企業(yè),就像是一批強力軍火送到街頭分送,不管受威脅或想圍惡的人都驚動了。
就像是槍枝買賣,當人人有錢,就能買到攻擊數(shù)位裝置的數(shù)位軍火(資安漏洞)時,缺乏了管制或監(jiān)督機制,反而不一定是強化了資安廠商,也會武裝了更多惡意份子。