Tilbyder op til 4 millioner dollar for Telegram-sårbarheder

Eskil Sørensen

03.24.2025 11:14

Hackere belønnes med rekordhøje summer for 0-dagsfejl i populære beskedapps.

Den russiske virksomhed Operation Zero, som specialiserer sig i handel med nul-dags sårbarheder, tilbyder nu op til 4 millioner dollar for eksklusive exploits, der kan kompromittere beskedtjenesten Telegram. Det viser en ny offentliggjort prisliste, som TechCrunch har fået indsigt i.

Høje summer for adgang til beskedapps

Ifølge TechCrunch tilbyder Operation Zero:

op til 500.000 dollar for en one-click RCE-sårbarhed (fjernafvikling af kode),
op til 1,5 millioner dollar for en zero-click RCE-sårbarhed,
og op til 4 millioner dollar for en såkaldt full-chain exploit, som antages at være en kæde af sårbarheder, der gør det muligt at kompromittere hele brugerens enhed via Telegram.

Exploit-mægleren har ifølge TechCrunch hævet sine udbetalinger med 20 pct. sammenlignet med den tidligere prisliste.

Sælger kun til "allierede regeringer"

Operation Zero skriver, at de ikke sælger til kriminelle organisationer eller privatpersoner, men udelukkende til “allierede regeringer.” Virksomheden nævner dog ikke specifikt hvilke lande eller institutioner, der er kunder.

Ifølge TechCrunch beskriver Operation Zero sig som en “lovlig virksomhed registreret i Rusland,” der betaler hackere for at levere eksklusive og funktionelle sårbarheder.

Telegram er ikke konsekvent krypteret

Selvom Telegram er kendt som en sikker beskedplatform, påpeger TechCrunch, at ikke alle beskeder er end-to-end krypterede. Kun såkaldte hemmelige chats har denne funktion. Almindelige samtaler og gruppechats gemmes i skyen og er dermed potentielt tilgængelige, hvis en angriber opnår adgang til kontoen.

Det gør Telegram til et særligt attraktivt mål for aktører, der ønsker adgang til følsom kommunikation – uden nødvendigvis at bryde stærk kryptering.

Telegram markedsføres som en sikker beskedtjeneste, men flere sikkerhedseksperter har længe stillet spørgsmålstegn ved platformens arkitektur. Modsat apps som Signal, der som standard bruger end-to-end kryptering, er denne funktion i Telegram kun aktiv i “hemmelige chats” og ikke i almindelige gruppesamtaler eller cloud-baserede beskeder. Det gør Telegram til et mere sårbart mål, hvis en angriber opnår adgang til brugerens konto eller enhed.

“Telegram giver brugerne en følelse af sikkerhed, men i praksis er det ikke nødvendigvis den mest sikre platform,” siger sikkerhedsresearcher Matthew Green fra Johns Hopkins University til TechCrunch.

Læs mere

https://techcrunch.com/2025/03/21/russian-zero-day-seller-is-offering-up-to-4-million-for-telegram-exploits/

Information