Mais de $1 Milhão Premiado a Hackers no Pwn2Own Toronto

Pwn2Own, o concurso anual de hacking de computadores que terminou em Toronto, Canadá, em 27 de outubro de 2023, viu pesquisadores de segurança ganhando $1.038.500 por 58 exploits zero-day únicos (e múltiplas colisões de bugs).

O evento de hacking de quatro dias foi realizado entre 24 de outubro de 2023 e 27 de outubro de 2023, com prêmios em dinheiro a serem ganhos superiores a $1.000.000 USD e outras formas de prêmios disponíveis para os concorrentes.

O evento de hacking teve várias categorias para os pesquisadores de segurança almejarem na competição, que incluíam impressoras, sistemas de vigilância, dispositivos de armazenamento conectado à rede (NAS), telefones celulares, hubs de automação residencial, alto-falantes inteligentes e os dispositivos Pixel Watch e Chromecast do Google.

O concurso de hacking viu o Samsung Galaxy S23 sendo hackeado com sucesso quatro vezes pelas equipes da Pentest Ltd, STAR Labs SG, Interrupt Labs e ToChim. Enquanto a Pentest Ltd e a Interrupt Labs conseguiram executar uma Validação de Entrada Inadequada contra o Samsung Galaxy S23, a STAR Labs SG e a ToChim conseguiram explorar uma lista permissiva de entradas permitidas contra o smartphone.

Além disso, a exploração do Samsung Galaxy S23 rendeu às equipes da Pentest Ltd e Interrupt Labs uma recompensa de $50.000 e $25.000, respectivamente, e 5 pontos de Master of Pwn, enquanto as equipes da STAR Labs SG e ToChim ganharam $25.000 e 5 pontos de Master of Pwn cada uma por seus exploits.

Outros Destaques:

• Chris Anastasio conseguiu explorar um bug no TP-Link Omada Gigabit Router e outro no Lexmark CX331adwe por $100.000

• A equipe Orca da Sea Security executou uma cadeia de 2 bugs usando uma Leitura OOB e UAF contra o Sonos Era 100 por $60.000

• Um estagiário da DEVCORE executou um ataque de estouro de pilha contra o TP-Link Omada Gigabit Router e explorou dois bugs no QNAP TS-464 por $50.000

• A equipe Viettel conseguiu executar um estouro de buffer baseado em heap e um estouro de buffer baseado em pilha contra o TP-Link Omada Gigabit Router e a Canon imageCLASS MF753Cdw para o SOHO Smashup por $50.000

• Xiaomi, Western Digital, Synology, Canon, Lexmark, Sonos, TP-Link, QNAP, Wyze, Lexmark e HP foram todos explorados durante a competição

O vencedor geral do Master of Pwn foi a equipe Viettel, com 30 pontos de Master of Pwn, ganhando $180.000. Eles foram seguidos na tabela de classificação pela equipe Orca da Sea Security com $116.250 (17,25 pontos) e pelos estagiários da DEVCORE e Interrupt Labs (cada um com $50.000 e 10 pontos).

Chris Anastasio e a Pentest Ltd. ficaram em quarto e quinto lugar na tabela de classificação, respectivamente, com nove pontos cada e ganharam $100.000 e $90.000.

O cronograma completo do evento de hacking Pwn2Own Toronto 2023 pode ser encontrado aqui. Os resultados diários para cada desafio também podem ser encontrados aqui ( 1, 2, 3, 4).

O que é Pwn2Own?

Pwn2Own é uma competição de hacking organizada anualmente pela Iniciativa Zero Day (ZDI) da Trend Micro, onde hackers éticos, especialistas em cibersegurança e vários outros concorrentes participam.

No concurso de hacking Pwn2Own, pesquisadores de segurança exploram os dispositivos móveis e dispositivos IoT mais recentes e populares, demonstram suas habilidades e divulgam vulnerabilidades zero-day significativas para empresas de tecnologia. Os vencedores do concurso recebem o dispositivo que exploraram e um prêmio em dinheiro.

Após o evento, os fornecedores têm 90 dias para produzir patches para esses bugs. Uma vez que o prazo termina, a ZDI divulga publicamente as falhas, independentemente do status do patch.