Tietoturvayhtiö uhkaa kiristää aukoilla
2
Uusi tietoturvayritys on nostanut tapetille turva-aukoilla kiristämisen. VDA Labs -yhtiö pyytää ohjelmisto- tai web-yrityksiltä rahaa aukoista ja konsultoinnista, tai muuten aukot ja jopa hyökkäykset julkaistaan. Yhtiö ei asiantuntijoiden mukaan ole lähimainkaan ainoa vastaava yrittäjä.
VDA Labsin takana on tietoturvapiireissä uusista turva-aukkojen etsimismenetelmistä tunnettu Jared DeMott. Hän perusti yhtiön huhtikuussa, ja yhtiö on jo lähestynyt "asiakkaittaan" sähköpostitse. Uutispalvelu Cnet julkaisi joitakin viestejä, jotka VDA Labs lähetti suositulle Linkedin-nettisivustolle heinäkuun alussa.
10 000 tai …
Viesteissä VDA Labs kertoi Linkedin-yhtiölle löytäneensä uuden turva-aukon yhtiön web-ohjelmistosta. Linkedinnille tarjottiin mahdollisuutta ostaa aukko ensin. Muussa tapauksessa aukko joko myytäisiin eteenpäin tai julkaistaisiin julkisesti.
Aukon tietojen hinta oli aluksi 5 000 dollaria. Viesteissä tarjottiin myös muuta tietoturvakonsultointia. Kun vastausta ei tullut, lähetettiin uusi tarjous. Siinä VDA Labs kertoi kehittäneensä aukkoon jo toimivan hyökkäyksen. Hinta oli noussut 10 000 dollariin.
Aukko ja valmis hyökkäys julkisuuteen
Kun pyyntöön ei suostuttu, julkaisi VDA Labs aukon kahta päivää myöhemmin. Aukon lisäksi julkaistiin myös valmis hyökkäyskoodi.
DeMott selitti Cnetille, että yhtiön toiminta-ajatus on kärjekäs, mutta DeMott ei pidä sitä kiristyksenä. Hän haluaa vain varmistaa ettei hänen työtään käytetä hyväksi.
Toisten alan asiantuntijoiden mielestä kysymyksessä on selkeä kiristys, mutta ei ainutlaatuinen tapaus. Cnetin mukaan Tipping Point -yrityksen tietoturvatutkija Terri Forslof, joka työskenteli viisi vuotta Microsoftin Security Response Centerissä, kertoo että Microsoft törmäsi tuona aikana noin tusinaan vastaavanlaiseen tapaukseen.
