อีเมลของ Hacking Team ที่ถูกเปิดเผยออกมานอกจากแสดงรายชื่อลูกค้าแล้ว อีกด้านที่สำคัญอย่างมากคือรายชื่อผู้ขายช่องโหว่ อีเมลเปิดหลุดออกมาแสดงให้เห็นกระบวนการเปลี่ยนแปลงของบริษัทที่เปลี่ยนจากบริษัทที่ปรึกษาด้านความปลอดภัยมาเป็นบริษัทขายซอฟต์แวร์ดักฟังข้อมูล

Hacking Team เริ่มสะสมช่องโหว่จากบริษัทภายนอกตั้งแต่ปี 2009 โดยซื้อช่องโหว่จาก D2Sec และ VUPEN แต่ปรากฎว่าช่องโหว่ที่ซื้อมายังไม่เป็นตามที่หวัง ในปี 2013 Hacking Team พยายามหานักวิจัยรายใหม่ๆ เพื่อติดต่อซื้อช่องโหว่ รวมถึงสร้างทีมงานภายในเพื่อหาช่องโหว่ด้วยตัวเอง

Vitaliy Toropovขายช่องโหว่ให้กับ Hacking Team ช่วง ปี 2013 ถึง 2015 รวม 4 ช่องโหว่ ช่องโหว่แรกสามารถใช้งานได้นานถึงปีครึ่ง (เพิ่งแพตช์เมื่อเดือนเมษายนที่ผ่านมา) ช่องโหว่ล่าสุดเพิ่งส่งมอบเดือนพฤษภาคมที่ผ่านมา โดยแถมฟรีเพราะช่องโหว่ก่อนหน้านี้ใช้งานได้เพียงเดือนเดียว

Netragardเริ่มซื้อขายตั้งแต่ต้นปี 2014 โดยซื้อช่องโหว่ STARLIGHT-MULHERN ที่ใช้เจาะ Adobe Reader 9 และทะลุผ่าน sandbox ราคาตั้ง 100,000 ดอลลาร์แต่ต่อรองเหลือ 80,500 ดอลลาร์

ช่องโหว่อื่นๆ ที่ Netragard เสนอขาย เช่น Ammyy Admin (โปรแกรมเข้าถึงหน้าจอเดสก์ทอปจากระยะไกล), Netgear, QNAP, Oracle RAC, WebDav, OS X, Windows (รันโค้ดได้เพียงแค่คลิกลิงก์) ทาง Netragard ประกาศเลิกโครงการขายช่องโหว่ไปภายหลังอีเมลถูกเปิดเผย

Qavar Securityบริษัทความปลอดภัยออนไลน์จากสิงคโปร์ก่อตั้งโดย Eugene Ching ที่ทาง Hacking Team มาพบที่งาน SyScan จึงชวนมาร่วมงานกัน ทาง Hacking Team จ่ายเงิน 80,000 ดอลลาร์สิงคโปร์ต่อปีเพื่อให้พัฒนาช่องโหว่ตั้งแต่เดือนสิงหาคม และช่องโหว่สำเร็จเมื่อเดือนเมษายนที่ผ่านมา Eugene ได้รับโบัสเพิ่มเติมอีก 30,000 ดอลลาร์สิงคโปร์

เมื่อเดือนพฤษภาคมที่ผ่านมา Eugene ถูกเรียกเข้าประจำการกองทัพสองสัปดาห์ ทำหน้าที่ทดสอบและอุดช่องโหว่ซอฟต์แวร์ที่ยังไม่มีแพตช์แต่กองทัพสิงคโปร์ซื้อมาจากช่องทางอื่นๆ

VUPENทาง Hacking Team เริ่มติดต่อมาตั้งแต่ปี 2009 แต่ทาง Hacking Team บ่นว่าไม่ค่อยได้รับช่องโหว่ใหม่ๆ ที่ศักยภาพสูง ทั้งที่ทาง VUPEN สามารถสาธิตช่องโหว่เหล่านั้นได้ตามงานแข่งขันต่างๆ

ความไม่ไว้ใจระหว่าง VUPEN กับ Hacking Team มีเรื่อยมา เมื่อทาง Kaspersky รายงานถึงช่องโหว่ Korablin ทาง Hacking Team เชื่อว่าเป็นเพราะทาง VUPEN จงใจ "เผา" ช่องโหว่ทิ่งด้วยการเปิดเผยช่องโหว่นั้นหลังจากขายไปแล้วระยะหนึ่ง เพื่อบีบให้ผู้ซื้อต้องซื้อช่องโหว่ใหม่ๆ ตลอดเวลา

Vulnerabilities Brokerage International (VBI)ติดต่อขายช่องโหว่ให้กับ Hacking Team ตั้งแต่ปี 2013 มีช่องโหว่ซอฟต์แวร์เฉพาะกลุ่มหลายตัว เช่น SSHD บน Solaris, บังคับให้ iOS เชื่อมต่อผ่าน Access Point ที่กำหนด, ช่องโหว่ PHP, McAfee ePolicy Orchestrator, และช่องโหว่ PHP

ราคาช่องโหว่ของ VBI นั้นค่อนข้างแพงมาก ช่องโหว่การยกระดับสิทธิ์ผู้ใช้ในวินโดวส์ราคาถึง 150,000 ดอลลาร์, ช่องโหว่ Adobe Reader รวมกับ Windows ราคาถึง 200,000 ดอลลาร์ ทำให้การเจรจาไม่สำเร็จ และจากรายงานไม่พบว่า Hacking Team เคยซื้อช่องโหว่จาก VBI

เอกสารที่หลุดออกมาพร้อมกับอีเมลของ Hacking Team คือ รายการช่องโหว่ที่ VBI รอขาย (PDF ยาว 134 หน้า)

Rosario Valottaนักวิจัยความปลอดภัยอิตาลี รับเงินเดือน 3,500 ยูโรต่อเดือนจาก Hacking Team วิเคราะห์หาช่องโหว่เบราว์เซอร์ พบช่องโหว่หลายครั้งที่ทำให้เบราว์เซอร์แครชแต่ไม่สามารถเจาะเข้าสู่เครื่องได้จริงจัง

หลัง Valotta หมดสัญญากับ Hacking Team เขายังเสนอขายช่องโหว่เข้าไปยังบริษัท ช่องโหว่ IE11 ล่าสุดถูกพบเมื่อเดือนกุมภาพันธ์และเมื่ออีเมลถูกเปิดเผยทางไมโครซอฟท์ก็ เพิ่งแพตช์ไปในเดือนนี้

บริษัทอื่นๆ ที่ Hacking Team ติดต่อได้แก่

• COSEINCที่ปรึกษาความปลอดภัยจากสิงคโปร์ ทาง Hacking Team ติดต่อซื้อช่องโหว่แต่พบว่าช่องโหว่ที่เสนอมาถูกแพตช์ไปแล้ว หรือไม่สำคัญพอแต่กลับตั้งราคาแพงถึง 500,000 ดอลลาร์สิงคโปร์

• Ability Ltdบริษัทจากอิสราเอล ติดต่อขายช่องโหว่ OS X ผ่านทาง Flash แต่ทาง Hacking Team ระบุว่าราคาแพงเกินไป

• DSquare Securityขายซอฟต์แวร์ทดสอบความปลอดภัย ทาง Hacking Team ซื้อมาใช้งานในปี 2009 แต่พบว่าไม่ตรงความต้องการ
• Keen Teamบริษัทจากจีนที่ Hacking Team แสดงความสนใจขอซื้อช่องโหว่ แต่ไม่พบว่ามีการซื้อขาย
• LEO Impact Securityทาง Hacking Team ถูกหลอกให้ซื้อช่องโหว่ปลอม ไม่มีข้อมูลว่า Hacking Team จ่ายเงินไปเท่าใด
• ReVulnขายช่องโหว่ฝั่งเซิร์ฟเวอร์ที่ทาง Hacking Team ไม่สนใจนัก
• Security Brokersอีเมลของทาง Hacking Team พูดถึงบริษัทอิตาลีนี้ว่าก่อตั้งโดยอดีตเพื่อนของซีอีโอ Hacking Team และทำงานกับคู่แข่งของ Hacking Team

ที่มา - Vlad Tsyrklevich