ההסוכנות לביטחון לאומינחשב על ידי חלק כבעל סגל ההאקרים הטוב ביותר בעולם; אבל לפעמים אפילו הטובים ביותר צריכים קצת עזרה. זו בהחלט יכולה להיות הסיבה שה-NSA הפכה ללקוחה של ספקית כלי פריצה צרפתיתוופןבשנת 2012.

סוכנות הריגול, שנבדקה לאחרונה בשלהתוכניות מעקב סודיות ביותרנחשף על ידיאדוארד סנודן, קנה מנוי לשנה ל-Vupen'sשירות ניתוח וניצול בינאריבשנת 2012, כפי שנחשף ביום שלישי על ידימסמכים שהגיעו לידי MuckRockבאמצעות בקשה לחוק חופש המידע.

לא ברור בדיוק איזה סוג שירות רכשה ה-NSA, כמו החוזה (.PDF), מיום 14.9.2012, נכתבו פרטים רבים, כולל הסכום ששולם.

Chaouki Bekrar, מנכ"ל וחוקר ראשי של Vupen, אמר כי "מטרת השירות היא לאפשר ללקוחות [להגן] על המערכות שלהם מפני התקפות מתוחכמות על ידי ביצוע פנימי של בדיקות חדירה מתקדמות תוך שימוש בכלים ויכולות של Vupen", ורמז כי נעשה בו שימוש מסיבות הגנתיות. . עם זאת, באתר האינטרנט שלו, השירות מוצג ככלי הגנתי והתקפי כאחד. (בקרר לא הגיבה לדוא"ל המשך המבקש פרטים נוספים על השירות.)

בקראר סירב לחשוף אם החוזה חודש וכמה ה-NSA שילם עבורו, פשוט אמר שמידע כזה הוא "סודי".

ה-NSA לא הגיב לבקשתו של Mashable להגיב, אך ידוע כי הסוכנות קונה נקודות תורפה בשוק הפתוח. סוכנות הריגול הקדישה 25.1 מיליון דולר ב-2013 עבור "רכישות סמויות נוספות של פרצות תוכנה" מספקים פרטיים,לפי הוושינגטון פוסט, שהשיגה את ארה"ב"תקציב שחור"שמפרט הוצאות מסוכנויות ביון.

Vupen היא חברה צרפתית שחוקרת ומוכרת פרצות אבטחה או באגים - הנקראים גם 0days בשפת האבטחה - לממשלות שיוכלו להשתמש בהם כדי לפרוץ למחשבים של מטרות. החברה מגדירה את עצמה כ"ספקית המובילה של מודיעין אבטחת סייבר הגנתי והתקפי".

בפרופיל פורבס של החברה, האיגוד חירויות האזרח האמריקאיהטכנולוג ומומחה המעקב כריסטופר סוגויאן תיאר את וופן כ"סוחר מוות מודרני", שמוכר את "הכדורים למלחמת סייבר".

עבור אנשי מקצוע רבים בתחום האבטחה, החדשות לא הפתיעו.

Cesar Cerrudo, קצין האבטחה הראשי בחברת האבטחה IOactive, אמר שהוא לא מופתע "מכיוון שזה משהו שהיה אפשרי לחלוטין - וופן תמיד הזכיר לאיזה סוג של ארגונים הם מוכרים".

הוא גם הוסיף שאין שום דבר רע בכך ש-Vupen, או חברות דומות לה, מוכרים תוכנות מסוג זה לממשלות.

"בשבילי 0days, מעללים וכו' הם רק כלים ואין בהם שום דבר רע באופן מרומז - כמו רוב הכלים, זה תלוי איך משתמשים בהם", כתב בראיון באימייל. "אלה קוד מחשב, תוכניות - לא יותר מזה. יש להם שימוש טוב: למשל, רשויות אכיפת החוק יכולות להשתמש בהם כדי לפרוץ למחשבים, למערכות של סוחרי סמים וכו'. סוכנויות ריגול יכולות להשתמש בהן כדי לפרוץ לטרוריסטים מחשב, מערכות וכו'.

בקאר הדהד את הערותיו של סרודו. "שום דבר לא ממש מפתיע כאן", אמר, "ממשלות צריכות למנף את מחקר הפגיעות המפורט והמתקדם ביותר כדי להתגונן מפני יריבים".

וופן תמיד טענה שהיא לא מוכרת את הכלים שלה לדיקטטורים, ובקרר הדגישה את הנקודה הזו שוב. "כחברה אירופאית, אנו עובדים באופן בלעדי עם בעלי בריתנו ושותפינו כדי לעזור להם להגן על מדינותיהם ואזרחיהם מפני איומים בעולם הסייבר והעולם האמיתי", אמר.

אבל בעבר, כלים שנמכרו למדינות ידידותיות הגיעו לידיים הלא נכונות. בשנת 2011,זה נחשףשתוכנת צנזורה מקוונת שנעשתה על ידי חברת Blue Coat Systems האמריקאית, ונמכרה לממשלת עיראק, הגיעה בסופו של דבר לידי ממשלת סוריה.

לאור החוזה שפורסם, Soghoianצייץ בטוויטרשה-NSA כנראה קונה מעללים מ-Vupen כדי "לדעת אילו יכולות [ממשלות] אחרות יכולות לקנות, ו[ליישם] פעולות סייבר ניתנות להכחשה באמצעות דגל שווא."מוֹסִיףכי "יש מקרים שבהם הכוחות המיוחדים של ארה"ב משתמשים במטוסי AK47, למרות שיש להם רובים מעולים. כנ"ל לגבי רכישת Vupen של NSA. הכחשה", הוסיף.