Les participants à un concours de piratage ont rapporté plus de 800 000 $ en prix après avoir trouvé des exploits dans Windows 11, Microsoft Teams et d’autres logiciels d’entreprise le premier jour. Au cours de cette 15e compétition annuelle de piratage Pwn2Own Vancouver, les équipes ont découvert 16 bogues zero-day sur plusieurs produits comme Firefox, Oracle Virtualbox, Windows 11 et d’autres logiciels d’entreprise populaires.
Pwn2Own Vancouver 2022 est un concours de piratage de trois jours parrainé par Microsoft, Zoom et d’autres grandes entreprises technologiques. Des équipes de hackers ou de « chercheurs en sécurité » tentent de trouver des vulnérabilités zero-day dans leurs logiciels contre de l’argent.
Pensez-y comme des primes de bogues, sauf avec plus d’argent et de félicitations. Un zero-day est un exploit logiciel ou une vulnérabilité qu’un attaquant pourrait découvrir, dont les fabricants de logiciels ne sont pas encore conscients ; il n’y a pas de patch, et l’attaque est susceptible de réussir. Les bugs ou exploits connus ne sont pas valables pour les récompenses.
Actuellement, huit équipes ont réclamé au moins 40 000 $ en prix, avec STAR Labs en tête avec 230 000 $ et 23, soupir, points Master of Pwn. La terminologie est peut-être un peu usée, mais au moins les pirates semblent passer un bon moment à montrer de nombreux exploits dans Microsoft Teams qui leur rapportent beaucoup d’argent.
Le deuxième jour, les équipes se concentreront des logiciels d’entreprise sur les automobiles. Tesla offre plus de 1 000 000 $ en espèces et en prix, y compris une Tesla Model 3 et une Model S pour toute équipe capable de pirater une Tesla.
La récompense actuelle pour le piratage d’une de ces voitures électriques de haute technologie est de 600 000 $, plus la voiture elle-même. Les pirates essaieront d’exploiter les jours zéro dans le système d’infodivertissement de la Tesla Model 3, récemment découvert comme étant au centre d’un problème de surchauffe qui a entraîné le rappel de plus de 130 000 voitures.
Une fois le concours terminé, les fournisseurs qui ont participé disposent de 90 jours pour fournir des correctifs pour toutes les vulnérabilités divulguées lors de l’événement. Vous pouvez suivre Pwn2own sur le Compte Twitter de l’initiative Zero Day.