Hacking Team-sagen: To nye alvorlige Flash-sikkerhedshuller fundet

Efter hackerangrebet af det kontroversielle firma Hacking Team er endnu to, meget alvorlige sikkerhedshuller dukket frem. Black-hat hackere har tjent gode penge på at sælge hullerne til Hacking Team.

Endnu to alvorlige sikkerhedshuller er fundet efter hackerangrebet på Hacking Team - en kontroversiel leverandør af overvågningssoftware, hvis kunder bl.a. tæller den danske stat. Det skriver The Register.

Efter at Hacking Team selv blev et mål er en lang række dokumenter blevet lækket af whistleblowers. Det har nu ført til, at de to sikkerhedshuller, der findes i Adobes Flash, er fundet. Den ene af de to sårbarheder udnyttes allerede, og ingen af hullerne er lukkede endnu.

Sårbarheden lader ondsindede Flash-filer eksekvere kode på et offers computer og herefter installere malware. Adobe regner med at lukke hullerne i denne uge.

Bagmænd tjener kassen

For at kunne udnytte denne slags uopdagede sikkerhedshuller - såkaldte nuldagessårbarheder - kræver det, at virksomheder som Hacking Team opdager dem før producenten af softwaren. Og i visse tilfælde kan den slags købes af black-hat hackere. I en artikel beskriver Ars Technica hvordan en russisk hacker solgte sårbarheder til Hacking Team for 200.000-300.000 kroner per sårbarhed. I det konkrete tilfælde havde hackeren seks nuldagessårbarheder til salg, og der kunne opnåes mængderabat, lød det fra hackeren, der i øvrigt udstede en faktura.

Tilsyneladende købte Hacking Team mindst én sårbarhed for 300.000 kroner i en aftale, der gav bagmanden lov til at sælge sårbarheden til andre.

Det lykkedes Ars Technica at komme i kontakt med bagmanden, der svarede kortfattet, at han ikke havde regnet med, at Hacking Team selv ville blive hacket, men at det ikke overraskede ham, og at det ikke interesserede ham det mindste.