W sieci pojawiły się plotki mówiące o tym, że ktoś uzyskał nieautoryzowany dostęp do bazy exploitów 0day firmy Vupen. Gdyby okazało się to prawdą, można nazwać to zdarzenie apokalipsą bezpieczeństwa. 130 błędów w popularnych systemach i aplikacjach, o których do tej pory nie wiedzą ich producenci, mogło trafić w ręce grona znacznie szerszego, niż tylko te organizacje, które stać na zakup pojedynczego błędu za 100,000 funtów. Niestety ciągle brak bardziej wiarygodnych lub szczegółowych informacji na temat domniemanego włamania.
Pierwszy plotkę rozpuścił Twitter Errata Security
Vupen to firma, która zasłynęła jako pierwsza organizacja, otwarcie przyznająca się do handlowania lukami 0day. Wcześniej istniały firmy, otwarcie skupujące luki 0day, jednak żadna z nich nie ogłaszała, że będzie je odsprzedawać (najczęściej oferowały dostęp do swoich informacji w formie okresowej subskrypcji). Vupen nie tylko oferuje informacje o niezgłoszonych producentowi błędach, ale także część swojej oferty kieruje tylko do organów ścigania i rządów „zaufanych państw”. Które rządy Vupen uważa za zaufane? Niestety lista klientów firmy nigdy nie została ujawniona.
Specjaliści firmy pojawiają się na konkursach typu Pwn2Own, gdzie demonstrują możliwość włamania do najnowszych wersji popularnych systemów operacyjnych oraz przeglądarek, zyskując przy tym darmową reklamę o sporym zasięgu. Ich działalność budzi kontrowersje wśród specjalistów ds. bezpieczeństwa, którzy uważają, że wykryte błędy powinny być zgłaszane producentowi oprogramowania, by mogły zostać szybko usunięte.
Prezez Vupen poinformował, że informacja o wycieku jest fałszywa.
Wpis z Twittera prezesa Vupen
Komentarz
„Prezez poinformowa”. Ciekawe czy ma zekretarke :)