Depois de muitos anos sob pressão dos analistas de segurança, a Apple finalmente estreou um programa de recompensas para caçadores de bugs e está oferecendo até US$200 mil por vulnerabilidades descobertas.
Mas foi apenas a gota d’água para outra empresa privada aumentar a oferta para US$500 mil por cada falha de segurança exclusiva e começar uma guerra de preços do mercado de segurança.
A Exodus Intelligence é uma firma especializada em falhas de segurança, com um portfólio secreto de vulnerabilidades que comercializa com parceiros comerciais confidenciais, incluindo agências governamentais. Na prática, ela investe no mesmo segmento de mercado que o Hacking Teamitaliano, explorando nos limites da legislação brechas de segurança em programas conhecidos para propósitos não-revelados. E está disposta a pagar mais do que o dobro do que a Apple oferece para ter acesso a vulnerabilidades em primeira mão, além de dividendos mensais para hackers para o caso das descobertas renderem frutos a longo prazo.
O valor de meio milhão de dólares por uma falha de segurança em sistemas da Apple nem mesmo é a recompensa mais alta já paga por esse tipo de mercado. A empresa de segurança Zerodium pagou um milhão de dólares no ano passado por uma vulnerabilidade do iPhone, mas depois baixou o preço para meio milhão para outros bugs no iOS que fossem notificados.
E esse é um mercado extremamente lucrativo, onde as cifras oscilam na faixa das centenas de milhares de dólares. A lista de clientes privados da Exodus Intelligence paga caro pelo acesso ao banco de brechas de segurança da empresa.
Segundo uma reportagem da Time, existe uma assinatura anual que começa em US$200 mil para que esses clientes consigam conhecer essas vulnerabilidades em tempo real. Entre os usuários dos serviços da Exodus estão outras empresas de segurança e fabricantes de antivírus, mas também clientes interessados em utilizar os bugs para entrar em sistemas rivais.
