Vupen Security fue una empresa francesa de seguridad de la información fundada en 2004 y con sede en Montpellier con una sucursal estadounidense con sede en Annapolis, Maryland . Su especialidad era descubrir vulnerabilidades de día cero en el software de los principales proveedores para venderlas a las fuerzas del orden y las agencias de inteligencia que las utilizan para lograr operaciones cibernéticas tanto defensivas como ofensivas. [2] Vupen dejó de operar en 2015 y los fundadores crearon una nueva empresa, Zerodium .
En 2011, 2012, 2013 y 2014, Vupen ganó el primer premio en el concurso de piratería Pwn2Own , sobre todo en 2012 al explotar un error en Google Chrome . Su decisión de no revelar los detalles de la vulnerabilidad a Google , sino venderlos, fue controvertida. [3] A diferencia de 2012, durante Pwn2Own 2014, Vupen decidió revelar a los proveedores afectados, incluido Google, todos sus exploits y detalles técnicos sobre las vulnerabilidades descubiertas, lo que condujo al lanzamiento de varias actualizaciones de seguridad de Adobe , Microsoft , Apple , Mozilla y Google para abordar las fallas reportadas. [4]
Hace algunos años, Vupen todavía brindaba información sobre vulnerabilidades en el software de forma gratuita, pero luego decidió ganar dinero con sus servicios. "Las empresas de software tuvieron su oportunidad", dijo Chaouki Bekrar, fundador de Vupen, según el artículo, "ahora es demasiado tarde". [5] El 15 de septiembre de 2013, se reveló que la NSA era cliente de Vupen y tenía una suscripción a su servicio de explotación. [6] El 9 de noviembre de 2014, la revista alemana Der Spiegel informó que la agencia alemana de seguridad de la información BSI, encargada de la protección de las redes del gobierno federal, también era cliente de Vupen. [7] El 22 de julio de 2015, se reveló que Vupen proporcionó exploits a la empresa italiana Hacking Team .entre 2010 y 2011. [8]
El 5 de mayo de 2015, los fundadores de Vupen presentaron documentos para cerrar la empresa [1] y se mudaron a EE. UU. para iniciar una nueva empresa de ciberseguridad llamada Zerodium.
El 23 de julio de 2015, los fundadores de Vupen lanzaron su nueva empresa de ciberseguridad Zerodium en EE. UU. La empresa tiene un modelo de negocio diferente, ya que adquiere capacidades de día cero de investigadores independientes y las informa, junto con medidas de protección y recomendaciones de seguridad, a sus clientes gubernamentales. [9]