В компании Vupen говорят, что они всего лишь продают информацию «заслуживающим доверия организациям». К таким организациям компания относит «разработчиков в сфере безопасности, поставляющих оборонные решения», государственные организации в «одобренных странах» и «всемирные корпорации», среди которых компании из первой тысячи рейтинга журнала
На всяком рынке, будь он серый или любой другой, крупнейшие покупатели имеют привилегии устанавливать свои условия и правила. АНБ как общепризнанный единственный крупнейший покупатель уязвимостей и эксплоитов нулевого дня может перевернуть рынок с ног на голову, если начнет приобретать информацию с ясной целью раскрыть ее обществу. Агентство располагает миллиардами долларов для расходов на кибербезопасность. Почему бы не потратить часть этих денег на то, чтобы предупредить мир о существовании устранимых уязвимостей? Какую ответственность понесет агентство, если предупредит собственников и операторов небезопасной технологии о существовании потенциальной угрозы атак на них? Эту этическую дилемму агентство не обязано решать. Однако, если когда-нибудь случится кибератака на США, которая приведет к значительному физическому ущербу или вызовет массовую панику, а может, и смерти, агентство будет призвано к ответу за то, что не сумело предотвратить катастрофу. Вполне вероятно, что когда-нибудь в будущем директору АНБ придется сесть на место свидетеля и перед телевизионными камерами объяснить членам конгресса и гражданам США, как так вышло, что он знал об уязвимости, которой воспользовались враги Америки, но только из-за желания АНБ однажды воспользоваться этой информацией решил сохранить ее в тайне.
К наиболее уязвимым для разрушительных кибератак нулевого дня относятся те же самые объекты, которые АНБ так старается защитить: электростанции, предприятия атомной промышленности, газовые трубопроводы и другие жизненно важные объекты инфраструктуры, банки и компании финансового сектора. Не во всех этих компаниях есть система для легкого обмена информацией об уже известных уязвимостях и эксплоитах, информацию о которых зачастую раскрывают хакеры, больше ориентированные на защиту. Эти хакеры видят свое предназначение в поиске недостатков в высокотехнологичных продуктах и предупреждении о них компаний-производителей, а не в извлечении личной выгоды. Когда выясняется, что информационная система компании подвергается риску, установка исправлений и обновлений системы ложится на саму компанию, а технологическая гибкость у разных компаний разная. Одни готовы к оперативному внесению исправлений, другие могут даже не осознавать, что они используют уязвимое программное обеспечение. Иногда компании буквально не получают от производителей извещений, предупреждающих о необходимости установки обновления или изменения параметров безопасности продукта для повышения его надежности. Даже если компания использует ПО, для которого регулярно выпускаются обновления, системные администраторы компании должны согласовано скачать эти обновления, убедиться, что они были установлены повсеместно в компании, и продолжать отслеживать все будущие обновления. Когда на одном предприятии нужно обслуживать сотни или тысячи компьютеров, установка обновлений может оказаться весьма трудной задачей.
