В России запущена биржа по покупке уязвимостей в ПО

Команда, состоящая из бывших хакеров и разработчиков, запустила по адресу expocod.com отечественную биржу по покупке уязвимостей в популярном программном обеспечении (ПО). Компания, основанная бывшим сотрудником Росфинмониторинга, нацелена на перепродажу информации государственным структурам, компаниям в сфере информационной безопасности и спецслужбам. Стоимость некоторых брешей в программном обеспечении может достигать $500 тыс. Информацию об этом в среду, 1 июня, опубликовал «Коммерсант».

По данным, размещенным на сайте, за информацию об уязвимости в Adobe Flash компания готова заплатить $55 тысяч, уязвимости в различных браузерах могут быть проданы площадке примерно за $35-60 тысяч, а если речь идет об анонимном браузере Tor, цена вопроса может составить $80 тысяч долларов.

Помимо заявленной купли-продажи уязвимостей, компания намерена самостоятельно искать их, а также разрабатывать собственное ПО, которое позволит оценивать степень защищенности какой-либо IT-системы. По словам основателя Expocod Андрея Шорохова, на текущий момент компания уже достигла предварительных договоренностей о тестировании этого ПО на системах одного из крупных российских банков.

Также создатель Expocod подчеркивает, что поиск и разглашение уязвимостей в софте не являются противозаконными.

Напомним, ранее журнал RUБЕЖ писал, что Минкомсвязи планиpует пpивлечь хакеpов для поиска уязвимостей в софте, внесенном в pеестp отечественного ПО. Ведомство pешило внедpить пpогpамму поиска уязвимостей bug bounty. Однако, как увеpяют специалисты, утвеpждение пpогpаммы bug bounty связано с pядом технических и оpганизационных сложностей. Впpочем, по оценкам экспеpтов веpоятность внедpения системы bug bounty – велика.