漏洞懸賞公司Zerodium表示，他們正在征集零日漏洞，針對(duì)市場(chǎng)上三家流行的虛擬專用網(wǎng)（VPN）服務(wù)提供商。

　　VPN服務(wù)通過(guò)提供商的服務(wù)器運(yùn)行連接，允許用戶隱藏其IP地址訪問(wèn)互聯(lián)網(wǎng)上的資源，

　　這種路徑使第三方更難跟蹤用戶的在線活動(dòng)，保護(hù)了互聯(lián)網(wǎng)上的隱私。

　　針對(duì)Windows的VPN客戶端

　　Zerodium目前關(guān)注的是影響Windows客戶端NordVPN、ExpressVPN和SurfShark VPN服務(wù)的漏洞。它們共同服務(wù)著數(shù)百萬(wàn)用戶，據(jù)報(bào)道，前兩家公司聲稱全球至少有1700萬(wàn)用戶。

　　根據(jù)這三家公司網(wǎng)站上的數(shù)據(jù)，它們管理著分布在數(shù)十個(gè)國(guó)家的1.1萬(wàn)多臺(tái)服務(wù)器。

　　Zerodium今天發(fā)布的公告呼吁找出可能泄露用戶信息、IP地址和可用于實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行的漏洞。Zerodium不想要的是本地權(quán)限升級(jí)漏洞。

　　BleepingComputer聯(lián)系了這三家VPN服務(wù)提供商，希望就Zerodium的聲明發(fā)表評(píng)論，但在發(fā)布時(shí)沒(méi)有收到回復(fù)。

　　Zerodium的客戶群體由政府機(jī)構(gòu)組成，主要來(lái)自歐洲和北美，這些機(jī)構(gòu)需要先進(jìn)的零日漏洞和網(wǎng)絡(luò)安全能力。

　　Zerodium聲明背后的原因尚不清楚，但其中一個(gè)動(dòng)機(jī)可能是，政府客戶需要一種方法來(lái)識(shí)別隱藏在VPN服務(wù)背后的網(wǎng)絡(luò)犯罪活動(dòng)。

　　NordVPN和Surfshark過(guò)去曾被攻擊者使用。

　　去年，美國(guó)聯(lián)邦調(diào)查局（FBI）警告說(shuō)，伊朗黑客利用NordVPN服務(wù)進(jìn)行虛假的驕傲男孩（ProudBoy）行動(dòng)。

　　最近的一個(gè)例子是美國(guó)國(guó)家安全局（NSA）今年警告說(shuō)，俄羅斯黑客通過(guò)TOR和VPN服務(wù)（其中包括Surfshark和NordVPN）對(duì)Kubernetes服務(wù)器發(fā)起了暴力破解攻擊。

　　Zerodium公司表示，其業(yè)務(wù)遵循道德規(guī)范，根據(jù)嚴(yán)格的標(biāo)準(zhǔn)和審查程序選擇客戶；而且只有一小部分政府客戶能夠獲得已有的零日研究。

　　今年早些時(shí)候，Zerodium宣布暫時(shí)增加對(duì)Chrome漏洞的懸賞。Zerodium提供了100萬(wàn)美元，用在可將RCE與SBX鏈接起來(lái)的漏洞。

　　在Chrome有關(guān)的漏洞中，RCE和SBX的獎(jiǎng)金分別增加到40萬(wàn)美元。在撰寫本文時(shí)，這些懸賞仍在進(jìn)行中。

　　Zerodium為移動(dòng)端和電腦端的任何操作系統(tǒng)都提供付費(fèi)服務(wù)。最主要適用于Windows、macOS、LinuxBSD、iOS和Android。