Экс-поставщик Hacking Team прекратил торговать эксплоитами по этическим соображениям

image

Теги: уязвимость, эксплоит, сотрудничество

Итальянская компания приобрела через Netragard по крайней мере один эксплоит для уязвимости нулевого дня.

Некоторое время назад итальянский производитель шпионского ПО Hacking Team сообщил, что не потерял ни единого клиента после масштабной утечки данных, которая произошла в результате взлома корпоративной сети компании. Как оказалось, Hacking Team все же лишилась одного бизнес-партнера в лице американской компании Netragard, которая занимается тестированием сетей для выявления брешей безопасности.

В прошедшие выходные Netragard сообщила, что прекращает действие программы по приобретению эксплоитов Exploit Acquisition Program (EAP), в качестве одной из причин указав на обнародование информации о клиентах Hacking Team. В рамках EAP Netragard выступала посредником в продажах эксплоитов для неисправленных уязвимостей между частными исследователями и узким кругом организаций, заинтересованных в таких инструментах. Как стало ясно из архива переписки Hacking Team, опубликованного в свободном доступе, компания поддерживала деловые отношения с Netragard и приобрела через программу по крайней мере один эксплоит.

«Взлом Hacking Team оказался неприятностью, обернувшейся благом. Благодаря этому стал известен список клиентов, среди которых оказались сомнительные страны, известные случаями серьезных нарушений в области прав человека. Это как раз те клиенты, с которыми мы старались избегать всяческих контактов. Само собой разумеется, что мы прекращаем с ними [Hacking Team – прим. ред.] партнерство и впредь будем проводить более тщательные вендорские проверки», - отметил гендиректор Netragard Адриэль Десотель (Adriel Desautels) в своем блоге.

Десотель также добавил , что компания решила закрыть программу EAP по этическим, политическим и, конечно, по финансовым соображениям. Взлом Hacking Team показал, что компания не может эффективно проверять благонадежность потенциальных покупателей эксплоитов для уязвимостей нулевого дня. «В то время как в обязанности вендора не входит контроль за тем, что клиент будет делать с приобретенным продуктом, список заказчиков Hacking Team не приемлем для нас», - добавил Десотель.

 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.