漏洞悬赏公司Zerodium表示，他们正在征集零日漏洞，针对市场上三家流行的虚拟专用网（VPN）服务提供商。

　　VPN服务通过提供商的服务器运行连接，允许用户隐藏其IP地址访问互联网上的资源，

　　这种路径使第三方更难跟踪用户的在线活动，保护了互联网上的隐私。

　　针对Windows的VPN客户端

　　Zerodium目前关注的是影响Windows客户端NordVPN、ExpressVPN和SurfShark VPN服务的漏洞。它们共同服务着数百万用户，据报道，前两家公司声称全球至少有1700万用户。

　　根据这三家公司网站上的数据，它们管理着分布在数十个国家的1.1万多台服务器。

　　Zerodium今天发布的公告呼吁找出可能泄露用户信息、IP地址和可用于实现远程代码执行的漏洞。Zerodium不想要的是本地权限升级漏洞。

　　BleepingComputer联系了这三家VPN服务提供商，希望就Zerodium的声明发表评论，但在发布时没有收到回复。

　　Zerodium的客户群体由政府机构组成，主要来自欧洲和北美，这些机构需要先进的零日漏洞和网络安全能力。

　　Zerodium声明背后的原因尚不清楚，但其中一个动机可能是，政府客户需要一种方法来识别隐藏在VPN服务背后的网络犯罪活动。

　　NordVPN和Surfshark过去曾被攻击者使用。

　　去年，美国联邦调查局（FBI）警告说，伊朗黑客利用NordVPN服务进行虚假的骄傲男孩（ProudBoy）行动。

　　最近的一个例子是美国国家安全局（NSA）今年警告说，俄罗斯黑客通过TOR和VPN服务（其中包括Surfshark和NordVPN）对Kubernetes服务器发起了暴力破解攻击。

　　Zerodium公司表示，其业务遵循道德规范，根据严格的标准和审查程序选择客户；而且只有一小部分政府客户能够获得已有的零日研究。

　　今年早些时候，Zerodium宣布暂时增加对Chrome漏洞的悬赏。Zerodium提供了100万美元，用在可将RCE与SBX链接起来的漏洞。

　　在Chrome有关的漏洞中，RCE和SBX的奖金分别增加到40万美元。在撰写本文时，这些悬赏仍在进行中。

　　Zerodium为移动端和电脑端的任何操作系统都提供付费服务。最主要适用于Windows、macOS、LinuxBSD、iOS和Android。