Van rá forrásod is vagy csak találgatsz? Ennyi erőforrással miért ne lehetne egy külön szakosztályuk a sebezhetőséget felkutatására?
Továbbá szerintem félreértelmezted, hogy mit jelent a SaaS kifejezés. Az NSO nem a bugokat adja el, hanem egy készre csomagolt kémszoftver-platformot. Nem az adott ország belügyminisztériumában kell nekiállni kifejleszteni a programot, hanem kvázi csak beírni a célpont telefonszámát.