Российский брокер уязвимостей предложил до 4 млн долларов за цепочку багов в Telegram

Компания Operation Zero, ориентированная на рынок покупки и перепродажи уязвимостей, опубликовала предложение, вызвавшее резонанс в технологических кругах. По данным платформы, за уязвимости в мессенджере Telegram она готова заплатить до 4 млн долларов.

Подчёркивается, что интерес представляет как возможность удалённого выполнения кода с одним кликом, так и более сложные эксплоиты, не требующие взаимодействия пользователя.

Организация, открыто работающая на российских клиентов, объявила расценки: до 500 тыс. долларов за однокликовый баг, до 1,5 млн — за zero-click эксплоит, и до 4 млн — за полную цепочку, включающую несколько уязвимостей, позволяющих не просто получить доступ к учётной записи Telegram, но и установить контроль над всей операционной системой устройства.

Издание TechCrunch отметило, что интерес Operation Zero к безопасности Telegram вполне объясним, учитывая широкое распространение этого мессенджера среди аудитории в России и на Украине. Журналисты подчеркнули, что Telegram активно используется в обеих странах и давно стал частью информационного пространства.

Кроме того, TechCrunch обратило внимание, что открытая публикация таких расценок позволяет заглянуть за кулисы российского рынка 0-day уязвимостей, информация о котором остаётся крайне ограниченной.

По мнению журналистов, сам факт обнародования подобных предложений может свидетельствовать о чётком запросе со стороны российских структур, что и подталкивает Operation Zero к активной рекламе. В компании, по всей видимости, уверены, что смогут заплатить столь высокие суммы, так как рассчитывают на крупных заказчиков, готовых вкладываться в такого рода инструменты.

TechCrunch также сослался на мнение одного из экспертов, знакомого с рынком эксплоитов, который предпочёл сохранить анонимность. Он сообщил, что объявленные цены выглядят немного заниженными, если учитывать сложность и редкость подобных багов. По его предположению, это может быть стратегическим шагом — компания, вероятно, рассчитывает на последующую перепродажу эксплоитов по значительно более высокой цене.

Другой специалист из этой сферы, также оставшийся неназванным, сообщил, что обозначенные суммы соответствуют рыночным реалиям. Он отметил, что конечная цена может сильно варьироваться в зависимости от уникальности эксплойта, а также от того, будет ли он передан исключительно одному клиенту или же перепродан нескольким. Поскольку Operation Zero работает как посредник, логично, что компания стремится закладывать в стоимость возможность повторного использования уязвимостей.