Zerodium

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Zerodium
Rechtsform Privatunternehmen
Gründung 23. Juli 2015
Sitz Washington, D.C.
Leitung Chaouki Bekrar
Branche Informationssicherheit
Website zerodium.com

Zerodium ist ein 2015 gegründetes amerikanisches Unternehmen für Informationssicherheit mit Sitz in Washington, D.C. und Europa. Sein Hauptgeschäft besteht in der Entwicklung und dem Erwerb von hochwertigen Zero-Day-Exploits von Sicherheitsforschern sowie der Übermittlung der Forschungsergebnisse zusammen mit Schutzmaßnahmen und Sicherheitsempfehlungen an Regierungskunden im Rahmen des ZERODIUM Zero Day Research Feed. Das Unternehmen hat nach eigenen Angaben mehr als 1.500 Forscher und hat zwischen 2015 und 2021 mehr als 50.000.000 US-Dollar an Belohnungen ausgezahlt.[1]

Zerodium wurde am 23. Juli 2015 von den Gründern von Vupen (einem französischen Unternehmen für Informationssicherheit) gegründet und war das erste Unternehmen, das eine Preistabelle für Zero-Days veröffentlichte, die zwischen 5.000 und 1.500.000 US-Dollar pro Exploit lag.[2] Berichten zufolge gab das Unternehmen 2015 zwischen 400.000 und 600.000 US-Dollar pro Monat für den Erwerb von Sicherheitslücken aus.[3]

2016 hat das Unternehmen seine dauerhafte Prämie bei iOS-Sicherheitslücken auf 1.500.000 US-Dollar erhöht.[4]

Im Jahr 2017 hat Zerodium eine neue Preistabelle ausschließlich für Zero-Days von Mobilgeräten veröffentlicht, die von 10.000 bis 500.000 US-Dollar pro Exploit reicht. Das Unternehmen hat außerdem ein zeitlich begrenzte Zahlung von 1.000.000 US-Dollar für Tor-Browser-Exploits angekündigt.[5]

2018 hat das Unternehmen Sicherheitslücken zu neuen Produkten in sein Portfolio aufgenommen, darunter cPanel, Webmin, Plesk, DirectAdmin, ISPConfig, OpenBSD, FreeBSD und NetBSD. Es hat auch die Auszahlungen für verschiedene Software erhöht, darunter eine Prämie von bis zu 500.000 US-Dollar für Windows-Remote-Code-Exploits.[6]

Im Januar 2019 hat Zerodium seine Prämien für fast jedes Produkt noch einmal erhöht, darunter eine Auszahlung von 2.000.000 US-Dollar für Remote-iOS-Jailbreaks, 1.000.000 US-Dollar für WhatsApp-, iMessage-, SMS- und MMS-Remote-Code-Exploits und 500.000 US-Dollar für Chrome-Exploits.[7]

Im September 2019 hat Zerodium seine Zahlungen für Android-Exploits auf 2.500.000 US-Dollar erhöht. Zum ersten Mal zahlt das Unternehmen mehr für Android-Exploits als für iOS. Auch die Auszahlungen für WhatsApp und iMessage wurden erhöht. Berichten zufolge gibt das Unternehmen jeden Monat zwischen 1.000.000 und 3.000.000 US-Dollar für den Erwerb von Sicherheitslücken aus.[8]

Im Juni 2021 hat Zerodium auf seiner offiziellen Website bekannt gegeben, dass es mehr als 1.500 Forscher beschäftigt und zusätzlich zu seinen permanenten Prämien ein zeitlich begrenztes Bug Bounty Programm gestartet hat, das darauf abzielt, andere Zero-Day-Exploits zu erwerben, die nicht in den üblichen Bereich von Zerodium fallen oder für die das Unternehmen die Auszahlungen vorübergehend erhöht.[9]

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. ZERODIUM Official Website. Zerodium, abgerufen am 7. Oktober 2021 (englisch).
  2. Andy Greenbrg: Here's a Spy Firm's Price List for Secret Hacker Techniques. Wired, 18. November 2015, abgerufen am 26. August 2016 (englisch).
  3. Sean Michael Kerner: Zerodium Offering a $1 Million iOS 9 Bug Bounty. eWeek, 21. September 2015, ehemals im Original (nicht mehr online verfügbar); abgerufen am 23. Mai 2016 (englisch).@1@2Vorlage:Toter Link/www.eweek.com (Seite nicht mehr abrufbar. Suche in Webarchiven)
  4. Lily Hay Newman: A Top-Shelf iPhone Hack Now Goes for $1.5 Million. Wired, 29. September 2016, abgerufen am 4. Februar 2020 (englisch).
  5. Tor Browser Zero-Day Exploits Bounty for $1.0 Million. Zerodium, 13. September 2017, abgerufen am 7. Oktober 2021 (englisch).
  6. Zerodium is increasing its bounties for browsers, servers, mobiles, and more. Zerodium, 13. September 2018, abgerufen am 4. Februar 2020 (englisch).
  7. Zerodium is increasing its bounties for iOS to up to $2,000,000. Zerodium, 7. Januar 2019, abgerufen am 4. Februar 2020 (englisch).
  8. Zerodium's waving fatter payouts for zero-day bug hunters. Sophos, 9. Januar 2019, abgerufen am 4. Februar 2020 (englisch).
  9. Zerodium Time Limited Bug Bounties. Zerodium, 5. Juli 2021, abgerufen am 6. Juni 2021 (englisch).