Цены на сайте указаны в долларах. За эксплойт (программа, использующая уязвимости в ПО для проведения хакерских атак) в Adobe Flash компания готова заплатить $55 тысяч. Уязвимости в различных браузерах можно продать за $35-60 тысяч, а «дыру» в анонимайзере Tor — за $80 тысяч. Информация об уязвимостях в ОС Windows, Linux, OS X оценивается в $35-80 тысяч.
Основатель Expocod Андрей Шорохов сообщил «Коммерсанту», что раньше работал в финансовой разведке в управлении финансовых расследований Росфинмониторинга.
«Я единственный владелец Expocod и конечный бенефициар этого проекта, каких-то тайных инвесторов тут нет, все средства в развитие проекта вкладываю я», — заявил Шорохов.
По его словам, кроме перепродажи эксплойтов, компания намерена самостоятельно искать уязвимости и разрабатывать эксплойты. Также команда Expocod работает над созданием собственного ПО, которое позволит оценивать степень защищённости ИТ-систем.
Купленные эксплойты Expocod намерена перепродавать госструктурам и компаниям в сфере информационной безопасности, говорится на сайте биржи. Шорохов рассчитывает, что к концу 2016 года оборот компании составит около 100-120 млн рублей.
Источники «Коммерсанта», знакомые с проектом, рассказали, что по поводу приобретения эксплойтов с Expocod уже общались сотрудники ФСБ. По словам Шорохова, использование госорганами эксплойтов — это «необходимость в современном мире для отстаивания своих стратегических интересов в области информационной безопасности».
Предупреждать производителей ПО об уязвимостях в их продуктах Expocod не планирует. Глава компании утверждает, что поиск и разглашение уязвимостей в софте не являются противозаконными. Гендиректор ALT Linux Алексей Смирнов также отметил, что деятельность компаний по покупке-продаже эксплойтов не противоречит закону.
«Многие вендоры, например, тоже покупают информацию об уязвимостях и не только в своем софте. Например, антивирусные компании покупают ее, чтобы обновлять свои антивирусные базы», — пояснил Смирнов.
Запредельно дерзко
Абсолютно нормальная практика, это далеко не первая контора в мире, кто торгует 0day
"Бывших хакеров", - звучит смешно.
А как насчет УК РФ 272, 273, 274 etc?
Федералы своих не сажают.
А гарантии в том, что это не ловушка есть ? Нет. Всё понятно.