Operação Zero, especializada em vulnerabilidades zero-day, está em busca de falhas críticas no aplicativo de mensagens, visando principalmente o governo russo e empresas locais.
A Operation Zero, uma corretora de exploits que negocia vulnerabilidades zero-day exclusivamente com o governo russo e empresas do país, anunciou na quinta-feira que está disposta a pagar até US$ 4 milhões por falhas de segurança no Telegram. Os valores variam conforme o tipo de exploit:
- US$ 500 mil por um exploit de execução remota de código (RCE) de “um clique”
- US$ 1,5 milhão por um RCE de “clique zero” (que não requer interação da vítima)
- US$ 4 milhões por uma cadeia completa de exploits — possivelmente uma sequência de brechas que permitiria acesso total ao dispositivo do alvo
Por Que o Telegram?
O Telegram é extremamente popular na Rússia e na Ucrânia, tornando-o um alvo estratégico. No ano passado, o governo ucraniano proibiu o uso do app em dispositivos oficiais, temendo que fosse uma porta de entrada para hackers russos. Além disso, especialistas em segurança alertam que o Telegram não é tão seguro quanto Signal ou WhatsApp, já que não utiliza criptografia de ponta a ponta por padrão e suas implementações de segurança são menos auditadas.
O Mercado dos Zero-Days
Zero-days são vulnerabilidades desconhecidas pelos desenvolvedores, o que as torna valiosíssimas para governos e grupos de ciberespionagem. A Operation Zero atua como intermediária, adquirindo ou desenvolvendo esses exploits e revendendo-os a preços mais altos.
Segundo fontes do setor, os valores anunciados podem ser apenas uma base de negociação, com a empresa repassando os exploits por até o triplo do valor a clientes finais. Além disso, há relatos de que a empresa pode não pagar o valor integral se o exploit não atender a certos critérios — uma prática que desincentiva pesquisadores de segurança a negociar com intermediários anônimos.
Em 2023, um zero-day no WhatsApp chegou a valer US8milho~es∗∗nomercadonegro.Jaˊa∗OperationZero∗jaˊofereceu∗∗US8milho~es∗∗nomercadonegro.Jaˊa∗OperationZero∗jaˊofereceu∗∗US 20 milhões por ferramentas capazes de controlar dispositivos iOS e Android completamente — hoje, o valor caiu para US$ 2,5 milhões, indicando flutuações conforme a demanda e a dificuldade de exploração.
O anúncio revela as prioridades do mercado russo de cibersegurança, muitas vezes envolto em sigilo. Enquanto o Telegram continua sendo uma plataforma crítica para milhões de usuários, sua segurança permanece sob escrutínio — e agora, sob oferta de milhões no submundo dos exploits.
