Một số công ty và tổ chức phải trả tới 7 triệu USD cho các lỗ hổng zero-day trên iPhone và 5 triệu USD cho các lỗ hổng zero-day trên Android.
Lỗ hổng zero-day được định nghĩa là lỗ hổng chưa được phát hiện và chưa được vá trước đó trong phần mềm của nhà sản xuất.
Theo bảng giá của Crowdfense, một công ty được thành lập tại UAE vào năm 2017, khoản thanh toán tối đa cho các lỗ hổng trên iPhone là 7 triệu USD, trong khi đối với Android là 5 triệu USD. Một lỗ hổng trong trình duyệt Chrome có thể gây thiệt hại lên tới 3 triệu USD, trong Safari là 3,5 triệu USD và trong iMessage hoặc WhatsApp là 5 triệu USD. Các mức này tăng lên so với năm 2019, lần cuối cùng Crowdfense công bố bảng giá. Vào thời điểm đó, công ty đã đưa ra mức giá 3 triệu USD cho Android và iPhone.
Theo báo cáo, các công ty như Crowdfense hay Zerodium thường mua lại các lỗ hổng zero-day từ tin tặc với ý định bán lại chúng cho các tổ chức khác, thường là các cơ quan chính phủ hoặc nhà thầu chính phủ, những người cho rằng họ cần các công cụ hack để truy tìm tội phạm. TechCrunch.
Người bán thường là những hacker chuyên phát hiện lỗi bảo mật. Đây là những người phát hiện ra lỗi phần mềm hoặc phần cứng nhưng không thông báo cho các công ty hoặc nhà phát triển phần mềm bị ảnh hưởng và không bán ra chợ đen để tránh rơi vào tay kẻ xấu nhưng vẫn muốn “được giá tốt nhất”. Giao dịch được thực hiện thông qua các công ty chuyên thu thập các lỗ hổng, chẳng hạn như Crowdfense.
dựa theo 9to5mac, Crowdfense là công ty cung cấp mức giá zero-day cao so với mức trung bình toàn cầu nhưng không phải là cao nhất. Năm ngoái, Operation Zero cho biết họ sẵn sàng trả tới 20 triệu USD cho các công cụ bẻ khóa thiết bị iPhone và Android.
Trên thực tế, các công ty như Google, Apple và Microsoft vẫn tổ chức các cuộc thi hack hàng năm để phát hiện các vấn đề bảo mật trên nền tảng của họ. Tuy nhiên, họ có xu hướng trả ít hơn. Ví dụ: Apple trả tới 2 triệu USD cho các nhà nghiên cứu phát hiện ra lỗ hổng.
Tại hội thảo về mã hóa dữ liệu phòng chống ransomware tổ chức tại Hà Nội chiều 5/4, đại tá Lê Xuân Thủy, Giám đốc Trung tâm An ninh mạng quốc gia, Bộ Công an cho biết, có trường chợ chuyên bán và cung cấp mã độc và lỗ hổng bảo mật. Các nhóm tấn công không cần phải có tay nghề cao mà vẫn có quyền sử dụng, truy cập mã độc nhằm mục đích bất chính.
Ông Vũ Ngọc Sơn, trưởng phòng nghiên cứu kỹ thuật tại Hiệp hội An ninh mạng quốc gia, cho biết có những nhóm chuyên xâm nhập hệ thống rồi bán lại quyền khai thác cho các nhóm khác.
“Bán lỗ hổng bảo mật, bán quyền truy cập hệ thống đã trở thành một ngành công nghiệp”, Sơn nói.
Theo thống kê từ các tổ chức an ninh mạng, kể từ đầu năm 2023, Việt Nam đã chứng kiến hơn 13.750 vụ tấn công gây sự cố hệ thống thông tin. Chỉ tính riêng 3 tháng đầu năm nay, số vụ tấn công lên tới 2.323 vụ, trong đó có những vụ nghiêm trọng như VnDirect, PVOil.