เอกสารของ Hacking Team ที่หลุดออกมานอกจากจะมีซอร์สโค้ดจำนวนมากแล้ว ยังมีเอกสารการซื้อขายช่องโหว่ ตอนนี้ทาง ArsTechnica ก็รวบรวมกระบวนการซื้อขายช่องโหว่จากอีเมลของ Hacking Team พบการซื้อขายช่องโหว่ครั้งหนึ่งเมื่อปี 2013

ทีมงาน Hacking Team ได้รับการติดต่อ Vitaliy Toropov ( OSVDB ) เสนอขายช่องโหว่ 6 ช่องโหว่ของ Flash, Silverlight, Java, Windows, OS X, และ Safari ช่องโหว่ทั้งหมดเป็นช่องโหว่คุณภาพสูง สามารถข้ามการป้องกันเช่น ASLR และ DEP โดยไม่ต้องใช้เทคนิคที่คาดเดาได้ยากอย่าง ROP หรือ heap spray (อ่านเพิ่มเติม Exploit DB )

ทาง Hacking Team สนใจซื้อช่องโหว่ของ Flash เพียงช่องโหว่เดียว เมื่อตกลงราคากันได้ที่ 45,000 ดอลลาร์ กระบวนการจ่ายเงินก็จะเริ่มจากการส่งมอบโค้ดให้ตรวจสอบก่อน จากนั้นจะแบ่งจ่ายสามงวด 20,000 ดอลลาร์, 15,000 ดอลลาร์, และ 10,000 ดอลลาร์ห่างกันงวดละหนึ่งเดือน โดยตกลงกันว่าหากผู้ผลิตอุดช่องโหว่นี้ก่อนก็จะไม่จ่ายเงินงวดถัดไป

เมื่อการซื้อขายครั้งแรกเสร็จสิ้น Toropov อีเมลไปขอบคุณทาง Hacking Team พร้อมกับเสนอส่วนลด 5,000 ดอลลาร์สำหรับช่องโหว่ที่สอง และ 10,000 ดอลลาร์สำหรับช่องโหว่ที่สาม การซื้อขายเช่นนี้ไม่ใช่การขายขาด Toropov สามารถนำช่องโหว่นี้ไปขายคนอื่นอีกกี่ครั้งก็ได้ แต่เขาสัญญาว่าจะไม่นำไปแจ้งผู้ผลิตเพื่ออุดช่องโหว่

ที่มา - ArsTechnica