Google betalar, Apple betalar, Microsoft betalar och så finns det mer ljusskygga bolag som betalar för information om buggar och bäst betalar sig de som kallas ”Zero-Day”. Allvarliga, hittills okända buggar som skulle kunna exploateras och användas i attacker.

Generellt så betalar de seriösa bolagen mindre för buggar än vad mindre nogräknade obskyra säkerhetsbolag sägs göra men du tvingas då att ge dig in i en undre värld med allt vad det innebär. Nu har företaget Crowdfense publicerat en prislista. Företaget säger sig köpa in information om buggar och affärsidén är att sedan sälja informationen vidare.

SMS/MMS Full Chain Zero Click: från 7 till 9 M USD
Android Zero Click Full Chain: 5 M USD
iOS Zero Click Full Chain: från 5 till 7 M USD
iOS (RCE + SBX): 3,5 M USD
Krom (RCE + LPE): från 2 till 3 M USD
Krom (SBX): 200 000 USD
Krom (RCE utan SBX): 200 000 USD
Safari (RCE + LPE): från 2,5 till 3,5 M USD
Safari (SBX): från 300 till 400 000 USD
Safari (RCE utan SBX): 200 000 USD

Crowdfense liksom konkurrenten Zerodium säger att informationen säljs vidare till andra organisationer, som uppges vara statliga myndigheter eller statliga entreprenörer. Det hävdas att informationen då används för att uppdatera och utveckla hackningsverktyg för att kunna spåra och spionera på brottslingar.

Prislistor

Det finns även andra prislistor som bygger på utbetalningar som gjorts av lite mer kända bolag:

Google Chrome zero-days: upp till 3 miljoner USD
Safari zero-days: upp till 3,5 miljoner dollar
iMessage zero-days: mellan $3 och $5 miljoner
WhatsApp nolldagar: mellan $3 och $5 miljoner

Oavsett om du väljer att sälja din information till ett mera känt bolag där informationen kommer att användas för att täppa till och åtgärda säkerhetsproblem eller inte så kan du tjäna stora pengar på att jaga buggar.

TechCrunch