АНБ допомагало компаніям знайти вразливі місця в їхніх продуктах. Але також платило компаніям, аби ті не усували деякі з виявлених недоліків. Ці вразливості дозволяли агентству заходити в мережі й проводити там шпигунські операції або атаки на іноземні держави, які інсталювали ці продукти в комп’ютерах розвідувальних і військових організацій, а також на критично важливих об’єктах інфраструктури. За словами представників компанії й американських можновладців, Microsoft передавала АНБ звіти щодо вразливостей нульового дня в своїх програмних продуктах іще до оприлюднення офіційних попереджень і виходу програмних оновлень. Компанія Cisco, один із провідних світових виробників мережевого обладнання, залишала в маршрутизаторах бекдори, щоб американські агентства могли відстежувати роботу обладнання, як розповів фахівець у сфері кібербезпеки, який навчав співробітників АНБ технологій захисту. Компанія McAfee, що працює у сфері інтернет-безпеки, надсилала до АНБ, ЦРУ і ФБР потоки мережевого трафіку, результати аналізу ПЗ, а також інформацію про хакерські новинки.
Компанії, які обіцяють розкривати відомості про «діри» в безпеці власних продуктів лише шпигунським агентствам, отримують гроші за своє мовчання, як кажуть експерти й офіційні особи, яким ці угоди знайомі. Ба більше, оці шпарини, через які влада може стежити, – вимога законодавства. Скажімо, телекомунікаційні компанії зобов’язані проектувати своє обладнання так, щоб правоохоронні органи, які отримали дозвіл суду на стеження, могли прослуховувати розмови так само легко, як через лінії стаціонарного зв’язку. Але якщо АНБ збирає інформацію за кордоном, ці закони вже не поширюються на агентство. Натомість спостереження за допомогою бекдорів і секретних уразливостей в обладнанні та програмному забезпеченні, до якого вдається АНБ, у багатьох країнах незаконне.
Звісно, бекдорами і вразливостями можуть скористатись і хакери. У 2010 році аналітик компанії IBM виявив недолік у системі безпеки операційної системи Cisco, завдяки якій будь-який хакер міг скористатися бекдором для правоохоронних органів. Хакер міг зламати обладнання Cisco і скористатись їм для відстежування всіх комунікацій, зокрема й вмісту електронних листів. Залишаючи вразливості у продуктах, у тому числі таких популярних, як програми Microsoft, компанії піддають небезпеці мільйони користувачів, а також електростанції, комунальні служби й транспортні системи.
Згідно з американським законодавством, влада зобов’язана щоразу попереджати компанії, якщо використовує їхні продукти, сервіси або обладнання для стеження та збору інформації. Деякі з цих угод щодо обміну інформацією відомі лише керівникам і кільком юристам. Вигода від такої співпраці може бути значною. Джон Чемберс, керівник Cisco, потоваришував із Джорджем Бушем за часів його президентських повноважень. У квітні 2006 року Чемберс і президент обідали в Білому домі разом із Генеральним секретарем Центрального комітету Комуністичної партії Китаю Ху Цзіньтао, а наступного дня Буш «підвіз» Чемберса президентським літаком до Сан-Хосе, де президент долучився до Чемберса у штаб-квартирі Cisco і взяв участь у панельній дискусії, присвяченій конкурентоспроможності американського бізнесу. До розмови також приєднався тодішній губернатор Каліфорнії Арнольд Шварценеґґер. Близькість до політичної влади – це вже нагорода. Але привілейовані компанії інколи також отримують від уряду завчасні попередження щодо небезпек, які їм загрожують.
Міністерство внутрішньої безпеки також проводить зустрічі з представниками компаній у рамцях власної ініціативи зі створення «міжгалузевих робочих груп». Ці зустрічі дозволяють керівникам із корпоративного світу, з якими влада ділиться інформацією, поспілкуватися один з одним і почути державних діячів. Учасники таких зустрічей часто мають допуск до секретної інформації й успішно пройшли перевірки на благонадійність. Міністерство оприлюднює розклад і програму деяких зустрічей, однак не розкриває назви компаній-учасниць і зберігає в таємниці чимало подробиць обговорюваних питань. Від січня 2010 року до жовтня 2013-го, як стало відомо із відкритих джерел, влада організувала щонайменше 168 зустрічей із компаніями лише в рамцях ініціативи зі створення міжгалузевих робочих груп. А були ще сотні інших зустрічей за галузевим принципом: наприклад, енергетика, телекомунікації і транспорт.
Ці зустрічі виглядали так: «брифінґ про кіберзагрози» за участі влади, зазвичай представників АНБ, ФБР або Міністерства внутрішньої безпеки; останні новини щодо конкретних ініціатив, як-от підвищення безпеки банківських сайтів, спрощення процедури обміну інформацією між комунальними підприємствами або перелік шкідливого ПЗ; обговорення «інструментів» безпеки, розроблених державою та приватними компаніями, наприклад програм для виявлення в мережі хакерів. Одна з нарад у квітні 2012 року була присвячена «сценаріям обміну інформацією для активного кіберзахисту» – розробленому АНБ методу нейтралізації кіберзагроз іще до того, як вони призвели до збитків. І йшлося тут про інформаційний обмін не між державними службами, а між корпораціями.