A Zerodium não divulga preços publicamente já tem muito tempo. E mesmo quando divulgava, a Zerodium era uma das que pagavam menos. Existem várias outras que pagam mais e, mesmo assim, não chega na casa dos "milhões de dólares" igual você alegou.
Repito a sugestão para parar e pensar se você realmente sabe do que está falando.
E mesmo assim os valores chegavam a US$ 2,5 milhões. Eu sei do que estou falando. Pode discordar da interpretação, mas não precisa fingir que eu inventei a ordem de grandeza de quanto vale um exploit de altissimo nível em infraestrutura crítica.
E tem valores que chegam até 7~10 milhões de dólares. Mas o que você disse, foi:
E o fato de que cada zero-day real em sistema operacional ou browser vale literalmente milhões de dólares no mercado cinza.
Cada zero-day? Não. O que vale na casa dos milhões de dólares são exploits full-chain. Reportando zero-day ou até mesmo vendendo exploit para um zero-day, você nunca vai chegar nem perto de conseguir "milhões de dólares".
Um exploit full-chain é diferente: Não é um zero-day, são vários. Explorados em cadeia de forma automatizada pelo exploit.
Um full-chain precisa explorar desde uma vulnerabilidade na superfície de ataque até a escalação de privilégios. Tudo automático.
Só para dar um exemplo real, a Advance Security Solutions paga 80k dólares para um Linux LPE e 10 milhões de dólares para um full-chain Linux.
Eu sei do que estou falando.
Sabe mesmo ou só viu algo superficial sem entender direito o que viu e imaginou todo o resto?
Ótimo. Então o ponto fica simples: eu realmente escrevi uma coisa e tinha outra na cabeça. Não é qualquer zero-day que vale milhões; o que entra nessa ordem de grandeza são os casos extremos. Para mim isso estava implícito na discussão o tempo inteiro, rs. Mas, de todo modo, obrigado pela correção.