Mensenrechtenactiviste Heather Akers-Healy heeft onder de Freedom Of Information Act (FOIA), de Amerikaanse versie van de WOB, het contract van de NSA met securitybedrijf Vupen opgevraagd en ontvangen. Daaruit blijkt dat de inlichtingendienst inderdaad ontdekkingen van nieuwe zerodays van dat bedrijf ontvangt.

De Franse beveiligingsfirma Vupen heeft ontwikkelaars in dienst die code afspeuren op zoek naar zeroday-kwetsbaarheden. Het bedrijf verkoopt deze vervolgens aan opsporingsdiensten en overheden, en aan organisaties die hun eigen systemen beter kunnen beveiligen met de informatie. Ook bouwt het bedrijf zelf exploits om deze zerodays te kunnen gebruiken.

Zerodays voor NAVO-landen

Vupen is ook bekend van diverse hackwedstrijden, waarin de professionele hackers van het bedrijf exploits bouwen voor bekende browsers. Security-onderzoekers volgen het bedrijf met argusogen, omdat het gaten voor zichzelf houdt om er winst mee te maken. Vupen-CEO Chaouki Bekrar stelde vorig jaar exploits en zerodays alleen te verkopen aan NAVO-landen.

In september vorig jaar heeft de NSA een abonnement genomen op de dienst die Vupen levert, blijkt uit de vrijgegeven documenten. Het werd al algemeen aangenomen dat overheden als de VS dit soort diensten afnemen.