Dat meldt persbureau Reuters op basis van Amerikaanse functionarissen.
De NSA, die onder vuur kwam te liggen vanwege het op grote schaal bespioneren van burgers, wilde kritiek op die werkwijze van de hand doen door te zeggen dat kwetsbaarheden bij softwaremakers worden gemeld.
Cyberaanvallen
Volgens de functionarissen is dat slechts één kant van het verhaal. De NSA zou in de meeste gevallen eerst via de zwakke plekken cyberaanvallen uitvoeren om informatie in handen te krijgen.
Pas daarna wordt de softwaremaker op de hoogte gebracht, zodat die het lek kan dichten met een update of patch.
Bekende cyberaanvallen die de NSA samen met een Israëlische veiligheidsdienst heeft uitgevoerd zijn gedaan met de software Stuxnet.
Stuxnet gebruikte zwakke plekken in software van Microsoft en Siemens om bij systemen binnen te dringen. De softwaremakers waren niet op de hoogte van de zwakke plekken. In 2010 kwam het bestaan van Stuxnet aan het licht.