Na początku marca WikiLeaks opublikował pierwszą porcję danych z serii Vault 7 o nazwie "Year Zero". W jej skład wchodziło 8761 dokumentów i plików z CIA Center for Cyber Intelligence w Virginii. Z treści przecieków wynika, że Centralna Agencja Wywiadowcza opracowała narzędzia, zdolne obejść zabezpieczenia praktycznie wszystkich nowoczesnych urządzeń, także tych niepołączonych z Internetem lub inną siecią. Na inwigilację narażone są nie tylko komputery PC z praktycznie wszystkimi popularnymi systemami operacyjnymi, ale też np. iPhone'y, iPady, smartfony i tablety z Androidem czy Smart TV.
Julian Assange obiecał, że WikiLeaks będzie współpracować z dostawcami technologii i zapewni im ekskluzywny dostęp do niepublikowanych jeszcze dokumentów, zawierających szczegóły techniczne exploitów. WikiLeaks nie wyprowadzi więc na światło dzienne dokładnego kodu złośliwego oprogramowania, wirusów, trojanów, backdoorów i exploitów zero-day... przynajmniej na razie. Portal zamierza bowiem pomóc dotkniętym firmom, ale na własnych warunkach. Jak podaje nieoficjalne źródło, Apple, Microsoft i Google otrzymali stosowne maile, jednak w ich treści nie znalazły się szczegóły podatności, a owe warunki. Mają one zostać podpisane, nim WikiLeaks prześle dalsze informacje.
Tech companies are saying they need more details of CIA attack techniques to fix them faster. Should WikiLeaks work directly with them?
— WikiLeaks (@wikileaks) 8 marca 2017
Do czego zobligowani będą najwięksi gracze w branży? Jak na razie wiadomo tylko o jednym warunku. Firmy muszą zgodzić się na 90-dniowy okres naprawczy, w którym mają wypuścić łatki dla podatności w oprogramowaniu. Po upłynięciu tego okresu WikiLeaks bez żadnych konsekwencji będzie mógł upublicznić całą newralgiczną zawartość. W świecie IT taki deadline uchodzi za pewien standard. Właśnie tyle czasu otrzymywał Microsoft od zespołu Project Zero z Google, gdy ten publikował wstępne informacje o podatnościach w przeglądarkach firmy. Czasami okres skracano nawet do 10 dni.
Niestety, nie jest jasne, czy Microsoft na te propozycje przystanie. Gdy na początku miesiąca o sprawie zrobiło się głośno, rzecznik Microsoft potwierdził, że firma zainteresowana jest wszelkimi informacjami o lukach bezpieczeństwa, przy czym preferowanym sposobem kontaktu jest przesłanie maila ze szczegółami. Wygląda jednak na to, że firmy będą musiały ugiąć się przed nietypowymi zastrzeżeniami, jako że ceną jest zaufanie klientów.
341f31d.png)