В России начала работу биржа по продаже уязвимостей в ПО Expocod

Команда из разработчиков и бывших хакеров запустила первую в России биржу по продаже уязвимостей в популярном ПО: например, в Windows. iOS, Tor, Adobe Flash и так далее. Биржа называется Expocod, пишет «Коммерсантъ».

Цены на сайте указаны в долларах. За эксплойт (программа, использующая уязвимости в ПО для проведения хакерских атак) в Adobe Flash компания готова заплатить $55 тысяч. Уязвимости в различных браузерах можно продать за $35-60 тысяч, а «дыру» в анонимайзере Tor — за $80 тысяч. Информация об уязвимостях в ОС Windows, Linux, OS X оценивается в $35-80 тысяч.

Основатель Expocod Андрей Шорохов сообщил «Коммерсанту», что раньше работал в финансовой разведке в управлении финансовых расследований Росфинмониторинга.

«Я единственный владелец Expocod и конечный бенефициар этого проекта, каких-то тайных инвесторов тут нет, все средства в развитие проекта вкладываю я», — заявил Шорохов.

По его словам, кроме перепродажи эксплойтов, компания намерена самостоятельно искать уязвимости и разрабатывать эксплойты. Также команда Expocod работает над созданием собственного ПО, которое позволит оценивать степень защищённости ИТ-систем.

Купленные эксплойты Expocod намерена перепродавать госструктурам и компаниям в сфере информационной безопасности, говорится на сайте биржи. Шорохов рассчитывает, что к концу 2016 года оборот компании составит около 100-120 млн рублей.

Источники «Коммерсанта», знакомые с проектом, рассказали, что по поводу приобретения эксплойтов с Expocod уже общались сотрудники ФСБ. По словам Шорохова, использование госорганами эксплойтов — это «необходимость в современном мире для отстаивания своих стратегических интересов в области информационной безопасности».

Предупреждать производителей ПО об уязвимостях в их продуктах Expocod не планирует. Глава компании утверждает, что поиск и разглашение уязвимостей в софте не являются противозаконными. Гендиректор ALT Linux Алексей Смирнов также отметил, что деятельность компаний по покупке-продаже эксплойтов не противоречит закону.

«Многие вендоры, например, тоже покупают информацию об уязвимостях и не только в своем софте. Например, антивирусные компании покупают ее, чтобы обновлять свои антивирусные базы», — пояснил Смирнов.