Het bedrijf Zerodium roept hackers actief op om technische kwetsbaarheden te verkopen. Zerodium verkoopt deze gegevens vervolgens aan verschillende overheden en instanties in Europa en Noord-Amerika.
Zerodium, vraagt in een tweet specifiek om kwetsbaarheden in de windows versie van VPN-providers ExpressVPN, NordVPN en SurfShark. In de tweet wordt expliciet gevraagd om exploits, technische kwetsbaarheden die kunnen leiden tot het lekken van IP-adressen, invloed op de servers (remote code execution) of het lekken van andere bruikbare informatie. Het bedrijf geeft aan dat ze niet op zoek zijn naar local privilige escalation exploits. Dit betekent dat het bedrijf dus graag mee wil kunnen kijken bij de betreffende VPN-diensten, maar niet op zoek is naar toegang tot de computers van VPN gebruikers.
Wat doet Zerodium precies?
Zerodium presenteert zichzelf als een ‘exploit acquisitie firma’ gericht op “geavanceerde cyber security en zero-day exploit research”. Een zogeheten zero-day exploit is een kwetsbaarheid in software waarvan de ontwikkelaar nog niet van op de hoogte is. Het bedrijf omschrijft zichzelf als “een wereldwijde community van onafhankelijke cyber security onderzoekers die samenwerken om instituties de meest geavanceerde cyber security mogelijkheden te bieden”.
Het bedrijf verkoopt deze exploits door aan instanties en overheden die behoefte hebben aan deze high risk vulnerabilities with high functionality exploits; serieuze kwetsbaarheden die overheden verregaande mogelijkheden bieden om ongemerkt bij bedrijven en diensten mee te kunnen kijken. Op basis van de omschrijving van hun klanten zou je uit kunnen gaan dat het bedrijf de exploits dus verkoopt aan organisaties zoals de FBI of de AIVD.
De firma claimt dat ze de hoogste bounties in de markt uitkeren. Veel diensten hebben zelf een bug bounty programma, waarbij ethische hackers beloond worden voor het vinden van dezelfde exploits. Bedrijven verhelpen vervolgens deze kwetsbaarheden. Door meer te betalen hoop Zerodium dat hackersde kwetsbaarheden juist aan hen willen verkopen. Afhankelijk van hoe bruikbaar de exploit is betaalt Zerodium tot wel 2.5 miljoen dollar per exploit.
Wat betekent dit voor VPN gebruikers?
Zerodium geeft nu openlijk aan dat ze bijzonder veel interesse hebben in de drie grootste spelers in de VPN Markt. Deze diensten zijn erg populair en hebben een uitstekende reputatie op het gebied van zowel privacy, snelheid en gebruiksgemak.
De tweet geeft aan dat de klanten van Zerodium behoefte hebben om mee te kijken met sommige klanten van deze VPN diensten. Mocht Zerodium dergelijke kwetsbaarheden in handen krijgen, dan kan dat dit veiligheid van deze VPN diensten in gevaar brengen. We kunnen er voorzichtig vanuit gaan dat overheden niet op zoek zijn naar Jan Modaal die een VPN gebruikt om vanuit Nederland de Amerikaanse Netflix bibliotheek te bekijken, maar waarschijnlijk naar schimmige partijen als Ransomware bendes die ook VPN diensten gebruiken om hun activiteiten te verhullen.
Overheden hebben interesse in deze gegevens, met name om bijvoorbeeld schimmige Ransomware bendes op te sporen. Ook hackers gebruiken VPN-diensten om hun activiteiten te verhullen.
Zerodium legt uit dat ze zeer voorzichtig omgaan met de kwetsbaarheden die ze in handen krijgen. Deze worden volgens het bedrijf alleen doorverkocht aan een “selecte groep klanten” die een rigoureus screening proces hebben doorlopen. Dankzij NSA klokkenluider Edward Snowden weten we dat overheden toch vaak ook meer informatie verzamelen dan ze daadwerkelijk nodig hebben. Uiteraard zijn de VPN-providers ook op de hoogte van deze oproep en zijn zij nog veel meer op hun hoede om hun beveiliging te waarborgen.
