Шеньчженьская ассоциация пользователей (SZCUA) заявила о желании купить недокументированные уязвимости в iOS и Android

[ChALkeRx]

Они мне письмо (спам) присылали не так давно.

Я им в твиттере ответил публично (не встраиваю специально, ответ нецензурный, я предупредил).

Текст письма:

Hi,
We are ISBA of Shenzhen Computer Users Association. We find your contact information through internet. We are seeking some specialists in vulnerability research to cooperate. We want to buy 0day. We mainly have two purposes. Firstly, we need 0day to do technical research. We want to buy good 0day to improve our technological level and discovery ability. Secondly, we need 0day to do Security product development, like products of ZDI.

we are interested in 0day of Router,IE,Android, IOS. Except those, we also interested in other 0day. For example, Windows,office, apache or flash.

Except 0day, we are also seeking cooperation in scientific research.

Do you have any interests to cooperate with us?
Looking forward to your reply.

Best,
Catherine

Судя по поиску в твиттере — они такими рассылками довольно давно занимаются:

@mubix @c0nnection_ @w3bd3vil @sethsec… looks like the SZCUA email is making the rounds again. Got one today. pic.twitter.com/snrxaKHOgO

— KF (@d0tslash) June 3, 2015

[Tsimur_S]

Интересно, как законы РФ, Америки и Европы регулируют покупку и продажу уязвимостей?

[KOLANICH]

Регулируют (см Вассеанарские договорённости последней редакции). IMHO, вся эта мутотень с предложениями для того и устроена, чтобы поднять шум в сми, на фоне него ещё сильнее закрутить гайки в этой области и приравнять исследователей, не работающих на определённые организации, к шпионам и госизменникам. Потому что те, кто реально покупает — те предложения рассылать не будет, у них и так контакты налажены с теми, кто продаёт.