Uma empresa russa de aquisição de exploits, conhecida como Operation Zero, está oferecendo até US$ 4 milhões por vulnerabilidades de cadeia completa que possam comprometer o serviço de mensagens Telegram. A empresa fez o anúncio em 20 de março, oferecendo até US$ 500.000 por exploits de um clique que resultem em execução remota de código (RCE), até US$ 1,5 milhão para exploits de clique zero e até US$ 4 milhões para exploits de cadeia completa.
Leia também
Só 50% das empresas iniciaram implementação de IA
Uso de nuvem desafia equipes de cyber
Embora a publicação da Operation Zero não forneça detalhes específicos sobre o que constitui uma exploração de cadeia completa, espera-se que ela envolva uma série de vulnerabilidades interligadas que possam comprometer não apenas o Telegram, mas também sistemas mais amplos, como dispositivos e plataformas. A empresa está interessada em exploits para Android, iOS e Windows, com os preços variando conforme a complexidade das vulnerabilidades e os privilégios obtidos.
A Operation Zero é conhecida por vender exploits de dia zero exclusivamente para o governo russo e organizações privadas. Corretores de exploits como a empresa russa costumam buscar vulnerabilidades raras, que podem ser revendidas por um preço significativo a seus clientes, que, por sua vez, podem usá-las para fins de espionagem ou outros objetivos.
A prática de aquisição de exploits para vulnerabilidades de dia zero, especialmente aquelas que podem levar a compromissos de segurança em grande escala, tem sido uma prática crescente entre empresas especializadas, como a Zerodium, sediada nos EUA. No entanto, no último ano, a Zerodium foi menos ativa nas redes sociais e parece ter fechado as portas, com seu site agora exibindo apenas uma página com a chave PGP da empresa.
O Telegram enviou ao CISO Advisor a seguinte declaração sobre esse assunto:
O Telegram NUNCA foi vulnerável a um exploit de zero clique. O fato de estarem oferecendo dinheiro para encontrar um apenas mostra que não conseguiram. O código-fonte aberto (https://telegram.org/apps#source-code) do aplicativo do Telegram e seus protocolos de criptografia totalmente documentados (https://core.telegram.org/mtproto) permitiram que inúmeros pesquisadores verificassem a integridade da segurança do Telegram. Além disso, o Telegram é o único mensageiro de grande porte que possui builds verificáveis para Android e iOS (https://core.telegram.org/reproducible-builds), permitindo que qualquer pessoa comprove que os aplicativos publicados nas lojas são construídos a partir do mesmo código.
