Krever penger for ikke å avsløre feil

Et amerikansk selskaper vil tjene seg rike på andres problemer.

Det avdekkes stadig nye sikkerhetshull i utbredte kommersielle programvare-løsninger.

Mange av de oppdages av internt ansatte, men det har vokst frem et nisjemarked for eksterne aktører som bruker mye av sin tid på å avdekke sikkerhetshull i kjente og utbredte programmer. Disse selskapene får sine inntekter gjennom å jobbe som rådgivere og konsulenter for programvareselskapene.

Vulnerability Discovery and Analysis (VDA) Labs er et oppstartsselskap som lever av å avdekke sikkerhetshull i programvare. Det er en nisje med mange aktører, men VDA Labs skiller seg ut med sin kontroversielle forretningsmodell. Selskapet ble stiftet så sent som i april i år, av Jared Demott.

VDA Labs informerer programvareleverandører om sikkerhetshull de finner, for så å kreve betaling, gjerne i form av konsulenttjenester. Dersom programvareleverandøren ikke gjør det, truer de med å selge informasjonen som sikkerhetsfeilen til en tredjepart, eller å offentliggjøre den.

Det er en forretningsmodell programvareselskapene ikke liker. De kaller det utpressing.

Et selskap som VDA Labs har forsøkt å selge seg inn til, er nettjenesten LinkedIn.

- Vi har oppdaget et angrep mot den nedlastLinkedIn-verktøylinjen. Hvis dere er interessert i bug'en, tilbyr vi dere å kjøpe en eksklusiv tilgang til informasjonen om den. Vi kan også tilby dere en komplett sikkerhetsrevisjon av deres produkter for å gjøre LinkedIn mer sikkert, skrev DeMott i en epost til LinkedIn 10. juli i år, ifølge CNet News som skal ha sett eposten.

VDA krevde 5.000 dollar for informasjonen om sikkerhetshullet, og ga LinkedIn en ukes frist på å slå til. Hvis ikke ville de selge den til noen andre, eventuelt offentliggjøre sikkerhetshullet og hvordan det kunne utnyttes.

LinkedIn svarte ikke, og DeMott purret med nye eposter. Denne gangen av prisen doblet til 10.000 dollar.

- Jeg har laget en fungerende løsning som utnytter sikkerhetshullet. Ring meg, skrev DeMott i den siste eposten, ifølge CNet News.

LinkedIn nektet å betale, og DeMott offentliggjorde sikkerhetshullet. Det har imidlertid selskapet nå sikret gjennom egen utvikling.

VDA Labs skal ha klart å få flere nye kunder gjennom sine aggressive salgsmetoder, men hvorvidt dette blir en utbredt forretningsmodell gjenstår å se.

Til toppen