Home
Zerodium cung cấp 1 triệu đô la cho trình duyệt Tor trong 0 ngày sẽ bán lại cho chính phủ

Zerodium cung cấp 1 triệu đô la cho trình duyệt Tor trong 0 ngày sẽ bán lại cho chính phủ

Tháng Tư 6, 2023 Lỗ Hổng Không có phản hồi

13 Tháng chín 2017Swati Khandelwal

tor-zero-day-khai thác-hack

Có vẻ như nhu cầu khai thác zero-day của Trình duyệt Tor hiện đang rất cao—nhiều đến mức ai đó sẵn sàng trả MỘT TRIỆU đô la.

Zerodium—một công ty chuyên mua và bán lại các khai thác zero-day—vừa thông báo rằng họ sẽ trả tới 1.000.000 USD để thực hiện các khai thác zero-day cho Trình duyệt Tor phổ biến trên hệ điều hành Tails Linux và Windows.

Người dùng trình duyệt Tor nên coi tin tức này là một cảnh báo sớm, đặc biệt là những người sử dụng Tails OS để bảo vệ quyền riêng tư của họ.

Nền tảng mua lại khai thác lỗ hổng Zero-day cũng đã công bố một số quy tắc và chi tiết thanh toán trên trang web của mình, thông báo rằng khoản thanh toán cho các lần khai thác Tor không có JavaScript được giữ nguyên gấp đôi so với các lần khai thác có JavaScript.

Công ty cũng đã đề cập rõ ràng rằng việc khai thác phải tận dụng lỗ hổng thực thi mã từ xa, vectơ tấn công ban đầu phải là một trang web và nó sẽ hoạt động với phiên bản Tor Browser mới nhất.

Hơn nữa, khai thác Tor zero-day phải hoạt động mà không yêu cầu bất kỳ tương tác nào của người dùng, ngoại trừ nạn nhân truy cập một trang web.

Các vectơ tấn công khác như gửi qua tài liệu độc hại không đủ điều kiện nhận tiền thưởng này, nhưng ZERODIUM có thể, theo quyết định riêng của mình, đưa ra đề nghị riêng biệt để có được các khai thác đó.

Zerodium bán trình duyệt Tor 0-Days cho các cơ quan thực thi pháp luật

Mặc dù thị trường zero-day từ lâu đã là một ngành kinh doanh béo bở cho các công ty tư nhân thường xuyên trả nhiều tiền hơn cho các lỗ hổng chưa được tiết lộ so với các công ty công nghệ lớn, Zerodium nói rằng họ muốn bán lại các khai thác trình duyệt Tor cho các cơ quan thực thi pháp luật để chống tội phạm.

Trong Câu hỏi thường gặp, công ty đã thừa nhận rằng họ sẽ bán Tor zero-days đã mua cho các cơ quan thực thi pháp luật và có thể là các công ty phát triển phần mềm độc hại thương mại bán phần mềm gián điệp cho chính phủ.

“Trong nhiều trường hợp, [Tor] được sử dụng bởi những người xấu xí để thực hiện các hoạt động như buôn bán ma túy hoặc lạm dụng trẻ em. Chúng tôi đã đưa ra tiền thưởng đặc biệt này cho Tor Browser zero-day để giúp khách hàng chính phủ của chúng tôi chống lại tội phạm và làm cho thế giới trở thành một nơi tốt đẹp hơn và an toàn hơn cho tất cả mọi người,” Zerodium cho biết.

Đáp lại chương trình tiền thưởng Zerodium, Tor Project nói rằng việc vi phạm tính bảo mật của phần mềm ẩn danh có thể gây nguy hiểm đến tính mạng của nhiều người dùng, bao gồm cả những người bảo vệ nhân quyền, nhà hoạt động, luật sư và nhà nghiên cứu, những người dựa vào nó.

HỘI THẢO TRỰC TUYẾN SẮP TỚI

Học cách bảo vệ phạm vi nhận dạng – Các chiến lược đã được chứng minh

Cải thiện bảo mật doanh nghiệp của bạn với hội thảo trực tuyến về an ninh mạng do chuyên gia hướng dẫn sắp tới của chúng tôi: Khám phá các chiến lược Vành đai nhận dạng!

Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!

Tổ chức phi lợi nhuận này cũng kêu gọi các nhà nghiên cứu và tin tặc tiết lộ một cách có trách nhiệm các lỗ hổng trong Tor thông qua chương trình tiền thưởng lỗi mới ra mắt gần đây.

“Chúng tôi nghĩ rằng số tiền thưởng là minh chứng cho tính bảo mật mà chúng tôi cung cấp. Chúng tôi nghĩ rằng đó là lợi ích tốt nhất của tất cả người dùng Tor, bao gồm cả các cơ quan chính phủ, đối với bất kỳ lỗ hổng nào được tiết lộ cho chúng tôi thông qua tiền thưởng lỗi của chúng tôi,” Tor Project người phát ngôn nói với The Hacker News.

“Hơn 1,5 triệu người dựa vào Tor hàng ngày để bảo vệ quyền riêng tư trực tuyến của họ và đối với một số người, đó là sự sống hay cái chết. Việc tham gia vào chương trình của Zerodium sẽ khiến tính mạng của những người dùng có nguy cơ cao nhất của chúng tôi bị đe dọa.”

Các khoản thanh toán cho các lần khai thác RCE trong 0 ngày của trình duyệt Tor

Đây là danh sách các khoản thanh toán của Zerodium cho các vụ khai thác trình duyệt Tor:

  • RCE và LPE đến Root/SYSTEM cho Trình duyệt Tor trên Tails 3.x (64bit) và trên Windows 10 RS3/RS2 (64bit) không có JavaScript: 250.000 USD
  • Chỉ RCE (Không có LPE) cho Trình duyệt Tor trên Tails 3.x (64bit) và trên Windows 10 RS3/RS2 (64bit) không có JavaScript: $185,000
  • RCE+LPE đến Root/SYSTEM cho Trình duyệt Tor trên Tails 3.x (64bit) và trên Windows 10 RS3/RS2 (64bit) với JavaScript: $125,000
  • Chỉ RCE (Không có LPE) cho Trình duyệt Tor trên Tails 3.x (64bit) và trên Windows 10 RS3/RS2 (64bit) với JavaScript: $85,000
  • RCE và LPE đến Root/SYSTEM cho Trình duyệt Tor trên Tails 3.x (64bit) HOẶC trên Windows 10 RS3/RS2 (64bit) không có JavaScript: 200.000 USD
  • Chỉ RCE (Không có LPE) cho Trình duyệt Tor trên Tails 3.x (64bit) HOẶC trên Windows 10 RS3/RS2 (64bit) không có JavaScript: $175,000
  • RCE và LPE đến Root/SYSTEM cho Tor Browser trên Tails 3.x (64bit) HOẶC trên Windows 10 RS3/RS2 (64bit) với JavaScript: 100.000 USD
  • Chỉ RCE (Không có LPE) cho Trình duyệt Tor trên Tails 3.x (64bit) HOẶC trên Windows 10 RS3/RS2 (64bit) với JavaScript: 75.000 USD

Những người quan tâm có thể gửi khai thác của họ cho đến ngày 30 tháng 11 năm 2017 lúc 6:00 chiều EDT. Công ty cũng lưu ý rằng tiền thưởng có thể bị chấm dứt trước khi hết hạn nếu tổng số tiền thưởng cho các nhà nghiên cứu đạt một triệu đô la Mỹ (1.000.000 USD).

Tìm thấy bài viết này thú vị? Theo dõi chúng tôi tại Twitter và LinkedIn để đọc thêm nội dung độc quyền mà chúng tôi đăng.

Related Posts

About The Author

danhvo

Leave a Reply