NSA koopt achterdeurtjes software in bij Frans beveiligingsbedrijf
Het Franse securitybedrijf Vupen specialiseert zich in het opsporen van lekken in software, waarmee ze zogenoemde ‘zeroday-exploits’ bouwen die deze kwetsbaarheden kunnen misbruiken. In plaats van de details openbaar te maken, verkoopt Vupen dat inbrekersgereedschap vervolgens door aan overheidsdiensten.
Het contract met Vupen kwam aan het licht toen de Amerikaanse mensenrechtenactiviste Heather Akers-Healy een beroep deed op de Amerikaanse Freedom of Information Act, waarmee vertrouwelijke overheidsdocumenten kunnen worden opgevraagd.
Documents responsive to my request to #NSA for contracts with VUPEN, include 12/month exploit subscription https://t.co/x3qJbqSUpa
[related_article id=”161920″] — Heather Akers-Healy (@abbynormative) September 16, 2013
Het document werd opgevraagd met hulp van Muckrock, een project dat tegen een klein tarief journalisten en advocaten helpt om dit soort informatieverzoeken in te dienen bij de Amerikaanse overheid.
De NSA blijkt in september 2012 een eenjarig abonnement te hebben genomen bij Vupen voor zijn ‘binaire analyse en exploitdienst.’ De Franse firma, zo schrijft Threatpost, hoort bij een kleine groep van omstreden specialisten die hun kennis van softwarelekken te gelde maken.
Vupen verwierf in 2012 internationale bekendheid toen het er in 2011 als eerste in slaagde om Googles Chrome-browser te hacken. Het herhaalde dit kunstje in 2012 toen het tijdens de Pwn2Own-hackwedstrijd opnieuw gaten schoot in het pantser van de browser. Destijds hield Vupen de gebruikte methode voor zichzelf, zodat het die informatie kon doorverkopen aan zijn klanten.
Woordvoerder Chaouki Bekrar, woordvoerder van Vupen, beweert dat het zijn exploits enkel “aan democratieën verkoopt”, zo zei hij destijds in een interview met Threatpost. “We respecteren natuurlijk internationale regelgeving en we verkopen alleen vertrouwde landen en democratieën. We verkopen niet aan onderdrukkende landen”, aldus Bekrar.