Zerodium oferta comprar Exploits Zero-Day a precios más altos que nunca

  • 2 Respuestas
  • 978 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado AXCESS

  • *
  • Moderador Global
  • Mensajes: 926
  • Actividad:
    100%
  • Country: 00
  • Reputación 16
    • Ver Perfil
    • Email


El proveedor de exploits Zerodium ahora está dispuesto a ofrecer pagos significativamente más altos por los exploits completos de día cero (Exploits  Zero-Day) que permiten el robo de datos de WhatsApp, iMessage y otras aplicaciones de chat en línea.

Zerodium, una empresa emergente de la infame empresa francesa Vupen que compra y vende exploits de día cero a agencias gubernamentales de todo el mundo, dijo que ahora pagaría hasta $ 2 millones por jailbreaks remotos de iOS y $ 1 millón por exploits que apunten a aplicaciones de mensajería segura .

Obtenga $ 2 millones para hackear de forma remota un iPhone

Anteriormente, Zerodium ofrecía $ 1.5 millones para jailbreaks de iOS persistentes, que pueden ejecutarse de forma remota sin ninguna interacción del usuario (con un solo clic), pero ahora la compañía ha aumentado esa cantidad a $ 2 millones.

Obtenga $ 1 millón para vender WhatsApp y iMessage Zero-Days

Zerodium también ha duplicado el precio de las explotaciones de ejecución remota de código (RCE) que se dirigen a aplicaciones de mensajería segura como WhatsApp, iMessage y SMS / MMS para todos los sistemas operativos móviles, por lo que es de 1 millón desde $ 500,000.

Sin embargo, el precio de las hazañas de día cero para la popular aplicación encriptada Signal, ampliamente utilizada por muchos tecnólogos, periodistas y abogados, se mantuvo en $ 500,000, igual que antes.

Otras ofertas de compra:

    $ 1 millón para las vulnerabilidades de ejecución remota de código en Windows (anteriormente $ 500,000)

    $ 500,000 para explotaciones remotas de ejecución de código en Chrome, incluido un escape de sandbox de seguridad (anteriormente $ 250,000 y $ 200,000 para Windows y Android respectivamente)

    $ 500,000 para Apache o Microsoft IIS RCE, es decir, explotaciones remotas a través de solicitudes HTTP (S) (anteriormente $ 250,000)

 $ 500,000 para ataques de escalamiento de privilegios locales contra Safari, incluido un escape de sandbox de seguridad (anteriormente $ 200,000)

    $ 250,000 para Outlook RCE, es decir, explotaciones remotas a través de correos electrónicos maliciosos (anteriormente $ 150,000)

    $ 250,000 para PHP o OpenSSL RCE (anteriormente $ 150,000)

    $ 250,000 para RCE de Microsoft Exchange Server (anteriormente $ 150,000)

    $ 200,000 para la escalada de privilegios locales en el kernel, o en la raíz para el sistema operativo Android o iOS (anteriormente $ 100,000)

    $ 200,000 para VMWare ESXi Virtual Machine Escape, es decir, escape de host invitado (anteriormente $ 100,000)

    $ 100,000 por PIN / contraseña local o omisión de Touch ID para Android o iOS (anteriormente $ 15,000)

    $ 80,000 para la escalada de privilegios locales de Windows o escape de sandbox de seguridad (anteriormente $ 50,000)

El alza en el precio está en línea con la demanda y la mayor seguridad de los últimos sistemas operativos y aplicaciones de mensajería, así como para atraer a más investigadores, piratas informáticos y cazadores de errores para que busquen complejas cadenas de explotaciones.

La cantidad pagada por Zerodium a los investigadores por adquirir sus exploits originales de día cero depende de la popularidad y el nivel de seguridad del software o sistema afectado, así como de la calidad del exploit enviado, por ejemplo, es una cadena total o parcial. afecta a las versiones actuales, confiabilidad, mitigaciones de explotación anuladas, continuación del proceso, etc.

Para reclamar el dinero del premio, su investigación debe ser original y no declarada previamente. Zerodium también dijo que la compañía está dispuesta a pagar recompensas aún mayores a los investigadores por sus hazañas o investigaciones excepcionales.

Los hackers obtendrán el pago en el plazo de una semana después de enviar las vulnerabilidades del día cero junto con una prueba de concepto válida.

Recientemente, Zerodium reveló una vulnerabilidad crítica de día cero en el complemento del navegador NoScript que podría haber sido explotada para ejecutar JavaScript malicioso en los navegadores Tor de las víctimas para identificar efectivamente su dirección IP real, incluso si se utilizara el nivel máximo de seguridad.[Comentario personal: eso explica muchas cosas]

Fuente:
The Hacker News
https://thehackernews.com/2019/01/zero-day-exploit-market.html


Desconectado WHK

  • *
  • Underc0der
  • Mensajes: 119
  • Actividad:
    3.33%
  • Reputación 10
  • The Hacktivism is not a crime
    • Yahoo Instant Messenger - yan_uniko_102
    • Ver Perfil
    • WHK
Que mal, en ves de comprar 0days para ofrecerlo a las mismas empresas que tienen los agujeros de seguridad para que los solucionen y hagan un internet mas seguro, se los venden a los gobiernos donde claramente el menor de sus intereses serán para resguardar la privacidad de los usuarios, se aprovechan de las personas con una situación económica difícil. Esto está muy lejos de lo que persigue el hacking, la libertad el libre conocimiento, la ayuda a la comunidad en general, el poder protestar de manera libre sin afectar a las personas para que se haga justicia y a hacer del internet un mundo mas seguro y libre. Lástima de las personas sin ética y sin sombrero que caigan en este juego tan sucio y despreciable.
« Última modificación: Enero 08, 2019, 10:10:13 pm por WHK »

Desconectado Mortal_Poison

  • *
  • Ex-Staff
  • *****
  • Mensajes: 203
  • Actividad:
    0%
  • Country: co
  • Reputación 16
  • Become the change you seek in the world. -Gandhi.
  • Twitter: https://www.twitter.com/Mortal_Poison_
    • Ver Perfil
    • XECURE-LABS
De hecho, estos eran los mismos que ofrecían una suma cantidad de dólares para descubrir un 0-day en TOR(aún recuerdo cuando publicaron eso). Probablemente, con las recompensas que acaban de anunciar, recibirán muchos reportes de equipos que se dediquen a ello. Su fundador sigue con la misma filosofía de Vupen Security y mientras esto le genere ganancias, seguirá siendo así. Siempre he pensado que este tipo de empresas están respaldadas por gobiernos y por qué no, por agencias de espionaje que están dispuestas a pagar lo que sea por su cometido. Lástima que estemos tan oprimidos como pueblo y como sociedad y que las personas no se preocupen por ello. Como comentó WHK, es algo deplorable pero por más que se luche contra los monopolios, gobiernos, agencias o demás, no va a servir de nada porque lo comprobé por mi mismo cuando arriesgué hasta mi propia libertad.

Become the change you seek in the world. -Gandhi.


 

Israel abre mercado de armas cibernéticas, cualquiera puede comprar fácilmente

Iniciado por Dragora

Respuestas: 0
Vistas: 588
Último mensaje Agosto 25, 2019, 02:52:45 am
por Dragora
No poder comprar juegos de Steam en otros países es ilegal, según la UE

Iniciado por Dragora

Respuestas: 0
Vistas: 1050
Último mensaje Abril 05, 2019, 12:36:07 pm
por Dragora
Apple está cerca de comprar el negocio de módems 5G de Intel

Iniciado por Dragora

Respuestas: 0
Vistas: 427
Último mensaje Julio 23, 2019, 12:59:37 am
por Dragora
Arabia Saudí estuvo a punto de comprar Hacking Team

Iniciado por graphixx

Respuestas: 0
Vistas: 1334
Último mensaje Octubre 02, 2015, 05:55:15 am
por graphixx
¿Por qué no debes comprar claves de Windows 10 a 1 euro aunque funcionen?

Iniciado por Dragora

Respuestas: 0
Vistas: 911
Último mensaje Marzo 18, 2019, 03:09:43 pm
por Dragora