Beveiligingsbedrijven betalen nu twee keer zo veel voor een systeemlek als Apple

Vorige week voegde Apple zich eindelijk in het rijtje techreuzen die hackers een premie betalen om gaten in hun systeem op te sporen. Als reactie kondigde Exodus Intelligence, een bedrijf die systeembugs opspoort voor geld, afgelopen woensdag aan een half miljoen te willen betalen. Dat is meer dan twee keer zo veel als Apple, die er slechts 200.000 voor over heeft. De waarde van kwetsbaarheden in de software is exponentieel aan het groeien.

De vraag is waar deze ontwikkeling toe leidt. Exodus verkoopt informatie over kwetsbaarheden aan bedrijven die een abonnement betalen van zo'n 200.000 dollar per jaar. Klanten kunnen 'defensieve bedrijven zijn' zoals anti-virus diensten of firewalls, of offensief. Wie of wat er onder die tweede groep valt is niet helemaal duidelijk. Dat kunnen hackers zijn of andere instanties die de zwakheden van systemen voor hun eigen gewin willen gebruiken.

Exodus legt de nadruk op de eerste groep. Ze "werken samen met onderzoekers om kwetsbaarheden op te sporen en beschikbaar te stellen voor beveiligingsbedrijven." Het verdienmodel is om de eerste te zijn die van het lek af weet. Het is dus begrijpelijk dat Exodus meer betaalt dat Apple, anders zou iedereen de gaten gewoon melden bij Apple. Die zou het gat dan gewoon herstellen, waardoor het haar financiële waarde verliest.

Mensen die de lek bij Exodus melden krijgen bovenop het vaste bedrag elk kwartaal geld zolang dat het lek in de software blijft bestaan. Het maakt Exodus niet uit waar het lek zit, dus het is niet helemaal duidelijk wat de 500.000 dollar rechtvaardigt. En vooralsnog heeft Exodus niet willen reageren op onze mails.

Maar bij wijze van context: Zerodium, een vergelijkbaar bedrijf, betaalde vorig jaar één miljoen dollar aan een groep hackers die een lek hadden gevonden in Chrome en iOS.

Er is duidelijk een trend aan het ontstaan in de zero-day business. Voorheen werden hackers gericht benaderd om een lek in een systeem te vinden. Exodus is, na Zerodium, nu al het tweede bedrijf die publiekelijk een geldbedrag uitlooft. Er zijn nu al zogenoemde 'hitlists", en potentiële systeemgaten in Google Chrome, Microsoft EDGE en Firefox zijn veel geld waard, en dit zal in de toekomst alleen maar meer worden.