漏洞懸賞公司Zerodium表示，他們正在征集零日漏洞，針對市場上三家流行的虛擬專用網(wǎng)（VPN）服務提供商。

　　VPN服務通過提供商的服務器運行連接，允許用戶隱藏其IP地址訪問互聯(lián)網(wǎng)上的資源，

　　這種路徑使第三方更難跟蹤用戶的在線活動，保護了互聯(lián)網(wǎng)上的隱私。

　　針對Windows的VPN客戶端

　　Zerodium目前關注的是影響Windows客戶端NordVPN、ExpressVPN和SurfShark VPN服務的漏洞。它們共同服務著數(shù)百萬用戶，據(jù)報道，前兩家公司聲稱全球至少有1700萬用戶。

　　根據(jù)這三家公司網(wǎng)站上的數(shù)據(jù)，它們管理著分布在數(shù)十個國家的1.1萬多臺服務器。

　　Zerodium今天發(fā)布的公告呼吁找出可能泄露用戶信息、IP地址和可用于實現(xiàn)遠程代碼執(zhí)行的漏洞。Zerodium不想要的是本地權限升級漏洞。

　　BleepingComputer聯(lián)系了這三家VPN服務提供商，希望就Zerodium的聲明發(fā)表評論，但在發(fā)布時沒有收到回復。

　　Zerodium的客戶群體由政府機構組成，主要來自歐洲和北美，這些機構需要先進的零日漏洞和網(wǎng)絡安全能力。

　　Zerodium聲明背后的原因尚不清楚，但其中一個動機可能是，政府客戶需要一種方法來識別隱藏在VPN服務背后的網(wǎng)絡犯罪活動。

　　NordVPN和Surfshark過去曾被攻擊者使用。

　　去年，美國聯(lián)邦調(diào)查局（FBI）警告說，伊朗黑客利用NordVPN服務進行虛假的驕傲男孩（ProudBoy）行動。

　　最近的一個例子是美國國家安全局（NSA）今年警告說，俄羅斯黑客通過TOR和VPN服務（其中包括Surfshark和NordVPN）對Kubernetes服務器發(fā)起了暴力破解攻擊。

　　Zerodium公司表示，其業(yè)務遵循道德規(guī)范，根據(jù)嚴格的標準和審查程序選擇客戶；而且只有一小部分政府客戶能夠獲得已有的零日研究。

　　今年早些時候，Zerodium宣布暫時增加對Chrome漏洞的懸賞。Zerodium提供了100萬美元，用在可將RCE與SBX鏈接起來的漏洞。

　　在Chrome有關的漏洞中，RCE和SBX的獎金分別增加到40萬美元。在撰寫本文時，這些懸賞仍在進行中。

　　Zerodium為移動端和電腦端的任何操作系統(tǒng)都提供付費服務。最主要適用于Windows、macOS、LinuxBSD、iOS和Android。