Требуется хакер. Зарплата — $20 миллионов. Конфиденциальность гарантируем (особенно свою)

Теперь хакинг — легальный бизнес за миллионы.

Появление нового участника из ОАЭ вызвало волнение на закрытом рынке уязвимостей. Компания Advanced Security Solutions, начавшая свою деятельность в августе, объявила о своей готовности выплачивать до 20 миллионов долларов за инструменты, предназначенные для взлома смартфонов. Речь идет о так называемых zero-day эксплойтах — уязвимостях в программном обеспечении, которые до сих пор неизвестны разработчикам и, следовательно, не имеют патчей. Подобные разработки пользуются высоким спросом у структур, занимающихся разведкой, кибернетическими операциями и работой спецслужб.

Согласно информации на сайте организации, она взаимодействует с более чем 25 правительствами и силовыми структурами по всему миру. Утверждается, что ее сотрудники обладают более чем 20-летним опытом работы в элитных разведывательных подразделениях и частных военных компаниях. При этом, информация об инвесторах, владельцах и руководителях, а также о странах, которым компания готова поставлять свои продукты, не разглашается. Сама компания воздержалась от предоставления комментариев.

Advanced Security Solutions предлагает цены, которые превосходят предложения конкурентов. За универсальный инструмент, позволяющий получить доступ к любой мобильной системе, компания предлагает 20 миллионов долларов. Также указаны отдельные суммы за конкретные платформы.

$15 миллионов для Android и iOS,
$10 миллионов для Windows,
$5 миллионов для Chrome,
$1 миллион для Safari и Microsoft Edge.
За мессенджеры WhatsApp, Signal и Telegram предусмотрено вознаграждение до $2 миллионов.

Расценки на сайте Advanced Security Solutions (Advanced Security Solutions)

Подобные ценовые предложения уже фиксировались на рынке, но исходили преимущественно от отдельных, выдающихся компаний. Ранее, компания Operation Zero уже заявляла о схожих выплатах. Кроме того, Operation Zero предлагала 1,5 миллиона долларов за эксплойт, не требующий взаимодействия с пользователем (0-click RCE), и 500 тысяч долларов за уязвимость, активируемую одним действием, например, открытием сообщения (1-click RCE). Данные предложения охватывали все версии Telegram – Android, iOS и Windows.

Анализ динамики рынка свидетельствует о быстром росте стоимости уязвимостей. В 2015 году Zerodium стала пионером, открыто обнародовав расценки и выплачивая до миллиона долларов за эксплойт, направленный против iPhone. В 2018 году Crowdfense заявила о себе, предложив три миллиона долларов. К 2024 году Crowdfense увеличила свои ставки до 7 миллионов за iOS и 5 миллионов за Android, а за уязвимости в популярных мессенджерах WhatsApp и Telegram предложила 8 и 4 миллиона соответственно.

В связи с усложнением технологий защиты современных устройств, цена эксплойтов продолжает расти. В настоящее время подобные сделки перешли в категорию высокорисковых инвестиций, где каждое успешное обнаружение может принести десятки миллионов. Однако, сами исследователи высказывают опасения относительно прозрачности новых участников рынка. Анонимный источник, осведомленный о ситуации на рынке, подчеркнул, что заявленные суммы соответствуют действительности, но от сотрудничества с компанией, скрывающей информацию о владельцах и клиентах, он бы воздержался.