Zero-day được định nghĩa là lỗ hổng chưa được phát hiện trước đó và chưa được vá trong phần mềm của nhà sản xuất.
Theo bảng giá của Crowdfense, công ty thành lập năm 2017 tại UAE, lỗ hổng iPhone được trả cao nhất 7 triệu USD, trong khi Android là 5 triệu USD. Lỗ hổng trên trình duyệt Chrome có giá tối đa 3 triệu USD, Safari 3,5 triệu USD, iMessage hay WhatsApp lên đến 5 triệu USD. Các mức này đều tăng so với năm 2019, lần gần nhất Crowdfense đưa ra bảng giá. Khi đó, công ty ra giá 3 triệu USD cho cả Android và iPhone.
Các công ty như Crowdfense, hay Zerodium thường mua lại lỗ hổng zero-day từ hacker với mục tiêu bán lại cho các tổ chức khác, thường là cơ quan chính phủ hoặc nhà thầu chính phủ – các tổ chức tuyên bố rằng họ cần công cụ hack để theo dõi tội phạm, theo TechCrunch.
Bên bán thường là hacker chuyên phát hiện lỗi bảo mật. Những người này tìm ra lỗi phần mềm hoặc phần cứng nhưng không thông báo cho công ty bị ảnh hưởng hoặc nhà phát triển phần mềm, cũng không rao bán trên chợ đen để tránh rơi vào tay kẻ xấu nhưng vẫn muốn “được giá” nhất. Việc giao dịch được thực hiện thông qua các công ty chuyên thu gom lỗ hổng như Crowdfense.
Theo 9to5mac, Crowdfense là công ty chào giá zero-day cao so với mặt bằng chung trên thế giới, nhưng chưa phải cao nhất. Năm ngoái, công ty Operation Zero cho biết sẵn sàng trả tới 20 triệu USD cho công cụ hack iPhone và thiết bị Android.
Thực tế, các công ty như Google, Apple, Microsoft vẫn tổ chức cuộc thi hàng năm dành cho hacker để tìm ra vấn đề bảo mật trên nền tảng của mình. Tuy vậy, họ thường trả thưởng ít hơn. Chẳng hạn, Apple trả tối đa 2 triệu USD cho nhà nghiên cứu tìm được lỗi.
Tại tọa đàm về phòng chống mã hóa dữ liệu tống tiền (ransomware) chiều 5/4 ở Hà Nội, Trung tá Lê Xuân Thủy, Giám đốc Trung tâm An ninh mạng quốc gia – Bộ Công an, cho biết đang tồn tại một thị trường chuyên rao bán, cung cấp mã độc và lỗ hổng bảo mật. Các nhóm tấn công không cần quá giỏi vẫn có thể có được quyền sử dụng, truy cập mã độc để phục vụ mục đích bất chính.
Ông Vũ Ngọc Sơn, Trưởng ban Nghiên cứu công nghệ – Hiệp hội An ninh mạng quốc gia, có những nhóm chuyên đi xâm nhập hệ thống rồi bán lại quyền khai thác cho nhóm khác.
“Bán lỗ hổng bảo mật, bán quyền truy cập hệ thống đã trở thành một nền công nghiệp”, ông Sơn nói.
Theo thống kê của các tổ chức an ninh mạng, tính từ đầu năm 2023 đến nay có hơn 13.750 cuộc tấn công gây ra sự cố vào hệ thống thông tin tại Việt Nam. Còn tính riêng 3 tháng đầu năm, số vụ tấn công là 2.323, trong đó có các trường hợp nghiêm trọng như của VnDirect, PVOil.