Securitybedrijf betaalt meer dan Apple voor iOS-bugs

Niet alleen op het schimmige dark web kan je grof geld verdienen met het veilen en verkopen van een onbekende bug. Steeds meer bedrijven bieden hun eigen beloningsprogramma aan voor de ontdekking van lekken, grotendeels om die zwarte markt te counteren. Apple lanceerde vorige week als een van de laatste grote bedrijven zo’n initiatief. Maar ook in de legale sector is er een opbod aan de gang voor exploits. Apple zelf looft 200.000 dollar uit voor de gevaarlijkste lekken, maar hackers die echt voor het grote (witte) geld willen gaan, kloppen beter aan bij Exodus Intelligence. Dat biedt een half miljoen dollar voor een zero-day lek in iOS 9.3 of later.

Exodus Intelligence presenteert zichzelf als “bestaande uit een team van onderzoekers van wereldklasse, die begrijpen hoeveel tijd en moeite er kruipt in het ontdekken en exploiteren van kwetsbaarheden”. Om die reden heeft het bedrijf een genereus sponsorprogramma opgezet om veiligheidsonderzoekers te belonen. De grootste beloning valt toe aan zij die een bug in iOS 9.3 kunnen ontdekken, maar ook voor lekken in Google Chrome, Microsoft Edge of Firefox wordt je ruim gecompenseerd.

Dankzij die hoge beloningen kan Exodus Intelligence een premium securitydienst aanbieden, waar eveneens een groot prijskaartje aan vasthangt. De praktijk is niet beperkt tot Exodus: securityfirma Zerodium zwaaide vorig jaar nog met een tijdelijke beloning van een miljoen dollar voor een exploit waarmee men op afstand een iPhone met iOS 9.0 kon kraken. Het bedrijf liet nadat de deadline was verstreken weten dat er iemand de premie effectief ontvangen had, maar het is onmogelijk om de waarheid van die informatie te verifiëren. Zerodium biedt standaard ook een half miljoen dollar voor een iOS-lek.