向政府出售Zero-day的初创公司出价100万美元收购Tor黑客

一家臭名昭著的初创公司向安全研究人员提供高达100万美元的奖励，这些研究人员可以发现漏洞并开发技术来利用匿名网络冲浪工具Tor Browser。

周三，总部位于美国的Zerodium公司宣布了这一新的赏金。Zerodium从研究人员手中购买漏洞，并将其专门出售给政府客户。最高悬赏为25万美元，该漏洞利用允许攻击者侵入在Linux Tails和Windows上使用具有高安全性设置的Tor浏览器的目标，从而授予攻击者对目标计算机的最高权限。其他奖励从75,000美元(只适用于Windows或Tails，并且只允许使用Javascript，例如，使它们更容易开发)到20万美元不等。

Zerodium的首席执行官兼创始人Chaouki Bekrar在一次在线聊天中告诉Motherboard，我们需要很多漏洞，因为我们有很多客户，他们有很多持续的行动，打击在Tor上进行的非法活动，"；Chaouki Bekrar，Zerodium的首席执行官兼创始人在一次在线聊天中告诉Motherboard。我们的政府客户对Tor漏洞的需求更高，因为他们在Tor上面临更多的非法活动，他们必须采取行动。

在声明中，Zerodium特别指出贩毒或虐待儿童是丑陋的人如何使用Tor的例子。该公司表示，除非在此之前支付金额达到100万美元，否则赏金有效期至11月30日。通常，错误赏金计划没有到期日。

Zerodium因向iPhone等目标提供高额奖金和赏金而臭名昭著。2015年，也就是Zerodium推出后不久，它悬赏100万美元给任何能开发出远程入侵iPhone技术的人。当挑战结束时，该公司声称一组黑客能够领取赏金。Zerodium总是拒绝讨论其客户的身份或与之打交道的研究。

毫无疑问，情报和执法机构对这种利用的需求是存在的。去年，欧洲警察使用一个未知的Firefox漏洞-即Zero-day，对一个名为GiftBox Exchange的儿童色情网站的用户进行了黑客攻击。但一些人认为，Zerodium抢占新闻头条的价格只是一种营销噱头。

我不认为[价格]准确地反映了Tor浏览器作为一个安全系统的情况，一位了解攻击市场、要求匿名的安全研究人员告诉“主板”(Motherboard)。这些价格都是市场价。

上个月，当Zerodium宣布了新的价格和奖励，为类似的Tor浏览器和Chrome漏洞提供相同金额(10万美元)的奖金时，Tor的开发者和密码学家Isis Lovecruft告诉Motherboard，这可能都是一种公关噱头，目的是让像我们这样的人关注他们愚蠢的0day囤积初创公司：)。

作为对这种批评的回应，贝克拉尔说，价格很高，因为没有JavaScript的开发是困难的，而且需要[本地特权升级]才能获得最高的支付。

开发和维护Tor浏览器的Tor项目的一位发言人表示，赏金数额证明了我们提供的安全保障。

斯蒂芬妮·怀特(Stephanie White)在一封电子邮件中表示：我们认为，通过我们自己的漏洞赏金向我们披露任何漏洞，都符合包括政府机构在内的所有Tor用户的最佳利益。她指的是Tor自己的漏洞赏金，奖励金额高达4000美元。每天有超过150万人依赖Tor来保护他们的在线隐私，对一些人来说，这关系到他们的生死存亡。参与Zerodium的计划将使我们最危险的用户面临生命危险。

这篇报道已经更新，加入了Chaouki Bekrar和Tor Project的评论。

有线报吗？您可以通过Signal(+1 917 257 1382)、OTR Chat([email protected])或电子邮件[email protected]安全地联系本记者。

通过订阅我们的时事通讯，每天可以获得6个我们最喜欢的主板故事。

签署“色情通讯”，即表示您同意接收来自“色情通讯”的电子通讯，其中有时可能包括广告或赞助内容。