Hacking Team kaufte Sicherheitslücke für 45.000 US-Dollar

Die für Spionagesoftware bekannte IT-Firma Hacking Team kaufte in großem Stil Infos über neue Sicherheitslücken. Ein E-Mail-Verkehr gibt Einblick in die Welt der vernetzten Überwachung.

Spione und Hacker — Spione, Hacker und Co: Wie kam das Hacking Team an Exploits? Geleakte E-Mails geben Antworten.

Die Überwachungsfirma Hacking Team, die kürzlich selbst zum Opfer eines Hackerangriffs geworden ist, hat im großen Stil Informationen über Sicherheitslücken und Schwachstellen in populärer Software gekauft, um diese gewinnbringend an Unternehmen und sogar Regierungen weiterzuverkaufen. Dies geht aus den im Zuge des Hacks geleakten Dokumenten hervor.

Ein E-Mail-Verkehr gibt dabei einen Einblick in die Welt der IT-Spionage und zeigt dabei die Vorgehensweise des Hacking Teams auf. Der russische Hacker Vitaliy Toropov versandte eine einfache E-Mail an das Hacking Team, in der er dem Unternehmen mehrere Informationen zu Zero-Day-Lücken im Adobe Flash Player, Microsoft Silverlight, Java und dem Apple-Browser Safari anbietet.

Die Antwort kam prompt vom CEO des Unternehmens, David Vincenzetti, der sich interessiert am Angebot zeigte. Toropov bot ihm daraufhin sechs "lieferfertige" Exploits für Windows, OS X und iOS an, von denen das Hacking Team sich für eine Schwachstelle im Adobe Player entschied. Dieser solle das Unternehmen 45.000 US-Dollar kosten.

Nach dem akzeptierten Angebot bot Toropov dem Hacking Team weitere Exploits an und versprach einen Mengenrabatt auf die Exploits. Doch selbst mit diesen Abzügen hat der russische Hacker ein gutes Geschäft gemacht: Ähnliche "Bug Bounty"-Programme wie die von Microsoft versprechen eine Belohnung von bis zu 15.000 US-Dollar. Für Sicherheitsexperten ist es damit lohnenswerter, sich an solche Spionageunternehmen zu wenden, auch wenn die moralische Bewertung fraglich ist.