امروزه تنها ستايش شركتهاي نرمافزاري از محققان امنيتي كه حفرهها را در برنامههاي رايانهيي مهم كشف ميكنند، ديگر كافي نيست و آنها خواهان دريافت پول هستند.
با وجودي كه مخالفان اظهار ميكنند كه فروش حفرههاي امنيتي كشف شده به جاي اطلاع دادن مستقيم به فروشندگان نرمافزار، سلامت تحقيقات را به خطر مياندازد اما برخي شركتها براي چنين اطلاعاتي پول پرداخت ميكردند كه بسته به اهميت حره كشف شده بالغ بر صدها يا هزاران دلار بود به طوريكه ماه گذشته نيز يك سايت مزايدهي سوئيسي براي تشويق به مزايدهگذاري اين اطلاعات راهاندازي شد.
فروشندگان نرمافزار تاكنون از خريد اطلاعات خود خودداري كرده و مايل به تشويق اخاذي نبودهاند و محققان نيز تهديد كردند تا زماني كه مبلغ مورد نظر خود را دريافت كنند به فروش اطلاعات خود به مجرمان اقدام ميكنند.
بدين ترتيب بازار سياهي براي تجارت اطلاعات در مورد آسيبپذيريهاي نرمافزار شركتهاي مايكروسافت، سيسكو سيستم و فروشندگان محصولات مهم ديگري كه در رايانهها كار ميكنند و اطلاعات را بر روي اينترنت ارسال ميكنند، ايجاد شد.
اين اطلاعات ميتواند براي نفوذ به سيستمهاي نگهدارندهي شمارههاي كارت اعتباري قرار بگيرد يا به طور مخفيانه نرمافزار جاسوسي را در شبكه شركت قرار دهد.
بنا بر اظهار كارشناسان، سازمانهاي دولتي آمريكايي نيز چنين اطلاعاتي را خريداري ميكنند اما نه براي هشدار دادن به مردم بلكه براي نفوذ به رايانهها براي امنيت ملي يا تحقيقات جنايي و شركت امنيتي مانند iDefense در اعطاي جايزه به محققاني كه اطلاعات آسيبپذيريها را به اطلاع آن ميرساندند، پيشرو بوده است.
در هر دو مورد، شركتهاي امنيتي اطلاعات را خريداري كرده و سپس براي اجتناب از فاش شدن حفرهها به طور عمومي تا قبل از طراحي شدن يك وصله با شركتها همكاري ميكنند.
با اين حال محققان همواره اطلاعات خود را به طور رايگان به اشتراك گذاشتهاند و تاكنون ميزان تحقيقات فروخته شده در مقايسه با مواردي كه مستقيما در اختيار فروشندگان قرار گرفته يا توسط كارمندان اين فروشندگان كشف شده اندك بوده اما نشانهها حاكي از رشد بازار فروش آسيبپذيريهاي كشف شده است.
