Китайська асоціація SZCUA (ShenZhen Computer Users Association), до складу якої входять такі гіганти, як China Greatwall Computer Shenzhen Co. і Kingdee International Software Group, запропонувала кільком російським компаніям продати інформацію про уразливість в програмному забезпеченні. Про це повідомляє «Комерсант».

Навіщо це потрібно

SZCUA зацікавлена ​​в інформації про уразливість в Android, iOS, браузерах і другом програмному забезпеченні. Найчастіше такі дані використовують державні структури, створюючи кіберзброя проти IT-систем інших країн, великих корпорацій і т.п. Експерти вважають, що асоціація могла отримати замовлення від китайських державних хакерських команд.
що пропонували
Представником SZCUA в Росії (офіційний сайт підрозділу — www.szcua.org) називав себе якийсь Роберт Невський. Він звернувся, щонайменше, до п’яти російським IT-компаній з пропозицією купити експлойти, які використовують уразливості нульового дня (ті, про які не знає компанія-розробник програмного забезпечення).
Нам цікаві os / cms / app / software / modems / office / browsers. На даний момент особливо цікаві IE / modem / Android / iOS. Ціна залежить від продукту. При першій угоді ціновий поріг не перевищує $ 100 тис. (Ціна обговорюється).
Роберт Невський
Представник SZCUA
Невський також заявив, що виплати будуть проведені в три етапи: до отримання інформації, після отримання та перевірки, а також через 2-3 місяці — щоб переконатися, що російські фахівці не оприлюднили експлойт.
У профілі Невського в LinkedIn зазначено, що він працює в SZCUA з червня 2016 року. Асоціація стала відправляти листи в серпні. В середині минулого року про подібні пропозиції повідомляли британські компанії. Однак офіційно в SZCUA заявляють, що «асоціація не веде бізнес і ніколи не робила таких речей», а про приналежність Невського до організації не відповідають.
Чи законно це
Директор по маркетингу Solar Security Валентин Крохин зазначає:
У Росії така угода — предмет ст. 273 КК РФ «Створення, використання і поширення шкідливих комп’ютерних програм».
Валентин Крохин
Директор по маркетингу Solar Security
Однак ряд експертів стверджує, що купівля-продаж такої інформації не завжди потрапляє під дію КК — іноді експлойти застосовуються легально, зокрема, для перевірки стійкості IT-систем. Поки дані не використовуються для злому, справа завести не можна.