Автор : Bryce Durbin/TechCrunch
Компания Operation Zero, известная как брокер уязвимостей, работающий исключительно с российским правительством и местными компаниями, объявила о готовности выплатить до $4 миллионов за эксплойты для мессенджера Telegram. Об этом стало известно в четверг, 21 марта 2025 года.
Operation Zero предлагает до $500 000 за уязвимость, позволяющую выполнить удаленный код (RCE) с помощью одного клика, до $1,5 миллиона за эксплойт, не требующий взаимодействия со стороны жертвы (zero-click RCE), и до $4 миллионов за полную цепочку уязвимостей, которая, предположительно, позволит злоумышленникам получить доступ не только к Telegram, но и ко всей операционной системе или устройству жертвы.
Компании, подобные Operation Zero, занимаются разработкой или приобретением уязвимостей в популярных операционных системах и приложениях, чтобы затем перепродавать их по более высокой цене. Фокус на Telegram объясняется популярностью мессенджера среди пользователей в России и Украине.
Публичное объявление о вознаграждениях дает редкую возможность заглянуть в приоритеты российского рынка уязвимостей, который обычно окутан секретностью. Эксперты предполагают, что российское правительство могло запросить у Operation Zero поиск уязвимостей в Telegram, что и побудило компанию опубликовать подобное объявление.
Нулевые уязвимости (zero-day) — это уязвимости, неизвестные разработчикам программного или аппаратного обеспечения, что делает их особенно ценными для брокеров и покупателей, поскольку они позволяют злоумышленникам эксплуатировать их до того, как производители успеют выпустить исправления. Уязвимости типа RCE считаются одними из самых ценных, так как позволяют удаленно взять контроль над приложением или операционной системой.
Новость о вознаграждениях за уязвимости в Telegram появилась на фоне решения украинского правительства запретить использование мессенджера на устройствах государственных и военных сотрудников в 2024 году. Это решение было принято из-за опасений, что Telegram может быть особенно уязвим для хакеров, связанных с российским правительством.
Эксперты по безопасности неоднократно предупреждали, что Telegram не стоит считать таким же безопасным, как его конкуренты, например WhatsApp и Signal. В частности, мессенджер не использует сквозное шифрование по умолчанию, а даже при его включении применяет менее проверенные методы, что вызывает сомнения у криптографов.
Источник, знакомый с рынком уязвимостей, отметил, что цены, предлагаемые Operation Zero, могут быть занижены. По его словам, компания, вероятно, планирует перепродавать эксплойты по более высокой цене, возможно, в два или три раза выше. Кроме того, Operation Zero может продавать уязвимости нескольким клиентам или выплачивать частичные суммы, если эксплойт не соответствует определенным критериям.
Другой эксперт отметил, что цены, объявленные Operation Zero, не являются завышенными, но их конечная стоимость может зависеть от таких факторов, как эксклюзивность и необходимость доработки эксплойтов внутри компании.
Рынок нулевых уязвимостей продолжает расти, а цены на них увеличиваются по мере усложнения взлома приложений и платформ. Например, в 2023 году стоимость уязвимости для WhatsApp могла достигать $8 миллионов, что объясняется популярностью приложения.
Ранее Operation Zero привлекала внимание, предлагая $20 миллионов за инструменты для полного контроля над устройствами на iOS и Android. Сейчас компания предлагает $2,5 миллиона за подобные уязвимости.
Operation Zero не ответила на запрос TechCrunch о комментариях.
Источник : TechCrunch