Wie alles begann
Der Pwn2Own ist mehr als nur ein Wettbewerb. Er bietet Raum für Innovationen und eine eindringliche Erinnerung daran, wie viel bei der Sicherheit auf dem Spiel steht. Er zeigt Schwachstellen in häufig verwendeten Geräten und Software auf und dient seit dem letzten Jahr als kritische Prüfung für die Fortschritte bei der Cybersicherheit.
Seit seinen Anfängen bei der 2007 CanSecWest-Sicherheitskonferenz in Vancouver, Kanada, ist der Pwn2Own beträchtlich gewachsen und umfasst jetzt drei Veranstaltungen jährlich.
Die Entwicklung des Pwn2Own – die Früchte ernten
Der Pwn2Own hat sich von einem kleinen Wettbewerb mit Preisgeldern von 10.000 USD hin zum weltweit angesehensten Computer-Hack-Wettbewerb mit Preisgeldern von über 1 Mio. USD pro Veranstaltung entwickelt. Seine dynamischen Regeln spiegeln die veränderliche Bedrohungslandschaft wider, die sich auf Browser, Betriebssysteme, Server und seit 2019 auch Automobile erstreckt. Dadurch war die Zero Day Initiative™ (ZDI) von Trend in der Lage, führende Researcher aus der ganzen Welt zu gewinnen.
Der Offenlegungsprozess von Pwn2Own ist eines der besten Foren für Anbieter und Researcher, die direkt zusammenzuarbeiten und Schwachstellen in Echtzeit besprechen können. Das zieht führende Researcher aus der ganzen Welt an.
Pwn2Own 2025
Herbst 2025
Spannende Events stehen an
Hier wird etwas Großes auf die Beine gestellt. Sie können bald alle Einzelheiten dazu nachlesen – und die wollen Sie garantiert nicht verpassen!
Mai 2025
Pwn2Own Berlin
Pwn2Own kommt diesen Mai nach Berlin und hat neue Herausforderungen für die besten Sicherheits-Researcher der Welt im Gepäck. In diesem Jahr gibt es eine neue KI-Kategorie, die über die Prompt-Eingabe hinausgeht und bis zur vollständigen Codeausführung in KI-Frameworks reicht. Die Tesla-Kategorie ist ebenfalls wieder dabei, wobei die Researcher die neuesten Fahrzeugsysteme ins Visier nehmen, darunter das 2024er Model 3 und das 2025er Model Y. Mit Preisen im Wert von über 1.000.000 US-Dollar und Kategorien, die Webbrowser, Cloud-Sicherheit, Unternehmensanwendungen und vieles mehr umfassen, entwickelt sich der Wettbewerb mit der Sicherheitslandschaft weiter.
Januar 2025
Rückblick auf den Pwn2Own Automotive 2025
Haben Sie etwas über die ultimative Herausforderung für die Cybersicherheit im Automobilbereich bei der Pwn2Own Automotive 2025 gehört? Hier kamen Top-Talente zusammen, um ihre Fähigkeiten vor Branchenführern zu demonstrieren und gleichzeitig Innovationen zu fördern, die Fahrzeuge für alle sicherer machen. Das Event bot eine Plattform für bahnbrechende Beiträge und die Chance auf den Gewinn von Bargeldpreisen, Trophäen und weltweiter Anerkennung. Trend Micro bezahlte 886.250 USD für 49 einzigartige Zero-Day-Schwachstellen aus, darunter Ergebnisse in Bezug auf Ladegeräte für Elektrofahrzeuge, die zuvor noch nie öffentlich demonstriert wurden. Sina Kheirkhah gewann den Titel „Master of Pwn“ und erhielt 222.250 USD.
Das Gesamtbild: der Pwn2Own im Lauf der Jahre seit der Gründung 2007
Pwn2Own Automotive 2025
Das Event, das vom 22. bis 24. Januar in Tokio stattfand, brachte einige der besten Researcher der Welt zusammen, die die neuesten Automobilkomponenten testen sollten. Wichtige Partner waren die Innovationsgiganten VicOne und Tesla.
Pwn2Own Irland 2024
Das 2024 in der Niederlassung von Trend Micro in Cork, Irland, abgehaltene Event stellte neue Kategorien vor. Dazu gehörte die von Meta gesponserte WhatsApp-Kategorie, die Verdienstmöglichkeiten von bis zu 300.000 USD bot. Darüber hinaus wurden erstmals KI-fähige Geräte vorgestellt, zum Beispiel Smartphones, NAS-Systeme und Kameras mit KI-Funktionen. In vier Tagen wurden für mehr als 70 Zero-Day-Schwachstellen über 1 Mio. USD ausbezahlt. Viettel Cyber Security wurde zum „Master of Pwn“ ernannt.
Pwn2Own Vancouver 2024
Pwn2Own kehrte zur CanSecWest-Konferenz in Vancouver, Kanada, zurück, um die neuesten Exploits bei Servern und Anwendungen von Unternehmen hervorzuheben. Insgesamt wurden für 29 einzigartige Zero-Day-Meldungen 1.132.500 USD bezahlt. Manfred Paul wurde zum „Master of Pwn“ ernannt. Er erhielt 202.500 USD und insgesamt 25 Punkte für Exploits auf allen vier Browsern im Rahmen des Wettbewerbs (Chrome, Edge, Safari und Firefox). Bei diesem Event wurde auch Docker als Ziel vorgestellt, und das Team von STAR Labs SG kombinierte zwei Bugs, um ihre Container-Escape auszuführen. Valentina Palmiotti nutzte einen Improper Update of Reference Count Bug, um Berechtigungen auf Windows 11 zu eskalieren. Sie erhielt später bei den 2024 Pwnie Awards den Preis für die „Best Privilege Escalation“. Andere Highlights waren beispielsweise Oracle VirtualBox-Exploits und Eskalationen von Berechtigungen auf allen wichtigen Betriebssystemen.
Pwn2Own Automotive 2024
Die Eröffnung der Pwn2Own Automotive wurde live aus Tokio bei der Automotive-World-Konferenz übertragen. Die Reaktion übertraf alle Erwartungen, mit mehr als 45 Beiträgen in allen Kategorien. Im Rahmen des Events wurden 1.323.750 USD ausbezahlt und 49 einzigartige Zero-Day-Angriffe aufgedeckt.
Pwn2Own Toronto 2023
Die Verbraucherausgabe des Pwn2Own fand wieder in der Trend-Niederlassung in Toronto statt und umfasste Ziele wie Mobiltelefone, Überwachungssysteme und kleine Büroumgebungen. Das Event erhielt besondere Aufmerksamkeit, da Anbieter in letzter Minute Sicherheitsverbesserungen vornahmen und Researcher ihre hochwirksamen Exploits demonstrierten. Synacktiv zeigte einen Zero-Click-Exploit auf der Wyze-Kamera, gleichzeitig führte ein erfolgreicher Angriff auf das Xiaomi 13 Pro dazu, dass Xiaomi Teile seines globalen Netzwerks deaktivierte. Insgesamt wurden 1.038.500 USD für 58 einzigartige Zero-Day-Angriffe ausbezahlt. Das Team Viettel wurde zum „Master of Pwn“ ernannt und erhielt 180.000 USD und 30 Punkte.
Pwn2Own Vancouver 2023
Im Rahmen der CanSecWest wurden beim Pwn2Own 27 Zero-Day-Angriffe erkannt und 1.035.000 USD sowie ein Tesla Model 3 als Preise vergeben. Tesla-Exploits zielten auf das Gateway und mehrere Subsysteme ab, wodurch Root-Zugriff möglich wurde. SharePoint und macOS auf M2 wurden ebenfalls kompromittiert. Dabei wurden weitreichende Windows-Schwachstellen entdeckt. Synacktiv wurde zum „Master of Pwn“ ernannt und erhielt 530.000 USD, 53 Punkte und den Tesla Model 3.
Pwn2Own Miami 2023
Der ICS/SCADA-Wettbewerb kehrte zur S4-Konferenz in Miami Beach, Florida, zurück. Dort wurden 27 Zero-Day-Schwachstellen aus 16 Beiträgen in 10 Produkten aufgedeckt. Erstmals spielte KI eine Rolle, da Claroty ChatGPT in einer Kette mit sechs Exploits nutzte, die auf Softing Secure Integration Server abzielte. Insgesamt wurden Preisgelder in Höhe von 153.500 USD ausbezahlt, und Team 82 wurde „Master of Pwn“ mit einem Preis von 98.500 USD.
Pwn2Own Toronto 2022
Der erste Toronto Pwn2Own in den Niederlassungen von Trend Micro wurde zum größten Event in der Geschichte, mit 66 Beiträgen von 36 Teams, die auf 13 Produkte abzielten. Es wurden insgesamt 989.750 USD für 63 Zero-Day-Angriffe ausbezahlt. Highlights waren unter anderem die SOHO Smashup-Kategorie, Samsung Galaxy S22-Exploits und ein Lexmark-Drucker, der zu einer Jukebox wurde. DEVCORE wurde „Master of Pwn“ mit einem Preis von 142.500 USD.
Pwn2Own Vancouver 2022
Beim 15. Jahrestag des Pwn2Own in Vancouver wurden 1.155.000 USD für 25 Zero-Day-Angriffe ausbezahlt. Am ersten Tag wurde mit 800.000 USD der Rekord gebrochen, unter anderem mit Angriffen auf Microsoft Teams. Tag 2 umfasste Tesla-Infotainment-Hacks, und am dritten Tag ging es um Berechtigungseskalationen in Windows 11. STAR Labs wurde zum „Master of Pwn“ und erhielt 270.000 USD und 27 Punkte.
Pwn2Own Miami 2022
Die zweite Ausgabe des Pwn2Own Miami, Florida, fand vom 19. bis 21. April 2022 im The Fillmore in South Beach, Miami, statt. Am dritten Tag erhielten die Teilnehmenden 400.000 USD für 26 einzigartige Zero-Day-Angriffe. Das Team von Daan Keuper und Thijs Alkemade von Computest Sector 7 wurde zum „Master of Pwn“ ernannt und erhielt 90.000 USD. Daan Keuper und Thijs Alkemade zeigten ein Highlight des Wettbewerbs, indem sie den Trusted-Application-Check für den OPC Foundation OPC UA .NET Standard umgingen.
Pwn2Own Austin 2021
Angesichts kontinuierlicher Reisebeschränkungen fand die Verbraucherversion des Pwn2Own im Hauptsitz von Trend ZDI in Austin, Texas, statt. Das Event erhielt viel Aufmerksamkeit von der Research-Community und wurde zum größten Event in der Geschichte von Pwn2Own. Es gab 58 separate Beiträge von mehr als 22 verschiedenen Teams, die auf 13 unterschiedliche Produkte abzielten. Schließlich wurden 1.081.250 USD für 61 einzigartige Zero-Day-Schwachstellen ausbezahlt – die zweithöchste Summe in der Geschichte des Pwn2Own. Einer der herausragendsten Momente war, als ein Exploit einen HP-Drucker in eine Jukebox verwandelte, die Thunderstruck von AC/DC über den internen Lautsprecher abspielte.
Pwn2Own Vancouver 2021 (From Austin with Love)
Vom 6. bis 8. April 2021 fand der Pwn2Own-Wettbewerb in Austin, Texas, virtuell statt. In diesem Jahr wurde erstmal die Enterprise-Communications-Kategorie vorgestellt, die Microsoft Teams und Zoom Messenger umfasste. Am ersten Tag wurden Apple Safari, Microsoft Exchange, Microsoft Teams, Windows 10 und Ubuntu erfolgreich missbraucht. Zoom Messenger wurde am zweiten Tag Opfer eines Zero-Click-Exploits, und Parallels Desktop, Google Chrome und Microsoft Edge wurden ebenfalls Opfer von Exploits. Bei diesem Wettbewerb wurden mehr als 1.200.000 USD für 23 einzigartige Zero-Day-Exploits ausbezahlt. Den Titel „Master of Pwn“ teilten sich Team DEVCORE, OV sowie Daan Keuper und Thijs Alkemade.
Pwn2Own Tokyo (Live from Toronto) 2020
Angesichts des immer noch laufenden Lockdowns aufgrund von COVID-19 fand die PacSec-Konferenz erneut virtuell statt. Das Event wurde live auf Twitch und YouTube gestreamt, dabei füllten Interviews und ältere Videos die Lücken zwischen den Angriffsversuchen. Bei diesem Wettbewerb wurden auch SAN-Server (Storage Area Network) als Ziel mit einbezogen. Bei diesem Wettbewerb wurden mehr als 136.500 USD für 23 einzigartige Bugs ausbezahlt. Pedro Ribeiro und Radek Domanski wurden mit zwei erfolgreichen SAN-Exploits zum „Master of Pwn“ gekürt.
Pwn2Own Vancouver 2020
Da das Event aufgrund von COVID-19 virtuell stattfand, konnten die Researcher ihre Exploits bereits im Vorfeld einreichen. Researcher der Trend ZDI führten Exploits von zu Hause aus. Sowohl die Bildschirme als auch ein Zoom-Call mit den Teilnehmenden wurden aufgezeichnet. Nach zwei Tagen wurden für sechs erfolgreiche Demonstrationen 270.000 USD ausbezahlt. Dafür wurden 13 einzigartige Bugs in Adobe Reader, Apple Safari und macOS, Microsoft Windows sowie Oracle VirtualBox gekauft. Als besonderes Highlight zeigte Trend-ZDI-Researcher Lucas Leong einen Bug in Oracle VirtualBox, für den es keinen Patch gab. Amat Cama und Richard Zhu wurden „Master of Pwn“ und erhielten 90.000 USD.
Pwn2Own Miami 2020
Der erste Pwn2Own in Miami bei der S4-Konferenz konzentrierte sich auf Industrial Control Systems (ICS). Researcher zielten auf mehrere Kategorien ab, wie Control Server, OPC Unified Architecture (OPC UA) Server, DNP3 Gateways, Human Machine Interfaces (HMI) und Engineering Workstation Software (EWS). Acht Wettbewerbsgruppen setzten Exploits erfolgreich auf mindestens einem Ziel in jeder Kategorie ein. Mehr als 280.000 USD in Preisen und in bar wurden verteilt, dabei wurden mehr als zwei Dutzend Zero-Day-Schwachstellen gekauft. Steven Seeley und Chris Anastasio wurden „Master of Pwn“ und erhielten 80.000 USD.
Pwn2Own Tokyo 2019
Facebook war unter den Teilnehmenden und brachte das Oculus Quest VR-System in den Wettbewerb ein. Der Wettbewerb erstreckte sich auch auf weitere IoT-Geräte, wie smarte Lautsprecher, Fernsehgeräte und kabellose Router. Insgesamt wurden bei dem zweitägigen Wettbewerb mehr als 315.000 USD ausbezahlt und 18 unterschiedliche Bugs in den verschiedenen Produkten gekauft. Mit 195.000 USD und 18,5 Punkten konnte das Duo von Fluoroacetate, bestehend aus Richard Zhu und Amat Cama, seinen Titel als „Master of Pwn“ zum dritten Mal in Folge verteidigen.
Pwn2Own Vancouver 2019
In Zusammenarbeit mit Trend stellte Tesla ein Model 3 im Wettbewerb vor und bot sechs Fokuspunkte für die Forschung im Rahmen des Wettbewerbsumfangs. Diese Ergänzung kam zu traditionellen Kategorien wie Webbrowsern, Virtualisierungssoftware, Unternehmensanwendungen und Windows RDP hinzu. Im Lauf der drei Tage bezahlte Trend ZDI 545.000 USD für 19 unterschiedliche Schwachstellen. Amat Cama und Richard Zhu wurden „Master of Pwn“ und erhielten 375.000 USD und den Model 3.
Pwn2Own Tokyo 2018
Der Wettbewerb wurde um IoT-Ziele ergänzt und von Mobile Pwn2Own in Pwn2Own Tokyo umbenannt. Auch wenn Smart-Lautsprecher, Webkameras und Smart-Watches im Wettbewerb enthalten waren, war keines dieser Geräte ein Ziel. Bei diesem Wettbewerb wurden insgesamt 325.000 USD ausbezahlt und 18 Zero-Day-Bug-Meldungen gekauft. Amat Cama und Richard Zhu holten sich mit 45 Punkten den Titel „Master of Pwn“ und erhielten 215.000 USD.
Pwn2Own 2018
Trend ZDI ging eine Partnerschaft mit Microsoft ein und begrüßte VMware als Sponsor für fünf Kategorien von Zielen: Virtualisierung, Webbrowser, Unternehmensanwendungen, Server und eine besondere Kategorie: Windows Insider Preview Challenge. Die Beteiligung des vom Unternehmen gesponserten Teams ging zurück, nachdem den chinesischen Teams die Teilnahme verboten wurde. Bei diesem Wettbewerb wurden 267.000 USD für ein Dutzend Zero-Day-Exploits ausbezahlt, und Richard Zhu (fluorescence) wurde zum „Master of Pwn“ ernannt.
Mobile Pwn2Own 2017 (Tokio, Japan)
Beim bis dato größten Wettbewerb der Trend ZDI wurden insgesamt 32 unterschiedliche Bugs gekauft und 515.000 USD an die Teilnehmenden ausbezahlt. Tencent Keen Security Lab wurde mit 44 Punkten „Master of Pwn“. Dies war der erste Wettbewerb, bei dem der Abbruch eines Versuchs zu negativen Punkten für den Titel „Master of Pwn“ führte.
Pwn2Own 2017
Der zehnte Jahrestag des Wettbewerbs war der geschäftigste überhaupt, da Trend ZDI an diesem Tag 51 verschiedene Zero-Day-Bugs für 833.000 USD kaufte. Die hohe Anzahl an Einreichungen erforderte zwei Tracks am zweiten Tag, damit alle berücksichtigt werden konnten. Bei diesem Wettbewerb wurden auch zwei erfolgreiche Guest-to-Host-OS-Elevations in VMware durchgeführt. Das Team von 360 Security wurde mit 63 Gesamtpunkten „Master of Pwn“. Die Teams reichten in diesem Jahr Bugs im Vorfeld des Wettbewerbs ein, um die Schwachstellen der Konkurrenz strategisch auszuhebeln.
Mobile Pwn2Own 2016 (Tokio, Japan)
Der Wettbewerb kehrte mit dem iPhone 6s, Google Nexus 6p und dem Galaxy S7 als Ziele nach Tokio zurück. Alle wurden Ziel von Exploits bei diesem Wettbewerb mit Auszahlungen von insgesamt 375.000 USD. Das Tencent Keen Security Lab Team holte sich den Titel „Master of Pwn“ mit insgesamt 45 Punkten und einem Kaufpreis von 210.000 USD.
Pwn2Own 2016
In diesem Jahr wurden der Titel „Master of Pwn“ für den Gesamtsieg beim Pwn2Own eingeführt. Die Reihenfolge des Wettbewerbs wird per Los bestimmt. Daher könnten Teilnehmende mit einer unglücklichen Auslosung großartige Forschungsergebnisse präsentieren, aber weniger Geld erhalten, da die nachfolgenden Runden an Wert verlieren. Die für jeden Beitrag erhaltenen Punkte nehmen jedoch nicht ab. Teilnehmende könnten ein schlechtes Los haben und dennoch die meisten Punkte erzielen. Das Team von Tencent Security Team Sniper wurde mit 38 Punkten zum ersten „Master of Pen“. Bei dem Wettbewerb wurden insgesamt 460.000 USD für 21 Schwachstellen ausbezahlt.
Mobile Pwn2Own 2015
Das Team nahm sich ein Jahr frei, um zu überlegen, wie Beiträge unter Einhaltung des Wassanaar Arrangement am besten verarbeitet werden konnten.
Pwn2Own 2015
Die Schwierigkeitsstufe nahm 2015 drastisch zu, als der „Unicorn“-Preis von 2014 zum Standard für alle Windows-Ziele wurde. Erfolgreiche Exploits mussten das Microsoft Enhanced Mitigation Experience Toolkit (EMET) auf allen Windows-Zielen umgehen, eine Code-Ausführung auf SYSTEM-Ebene erreichen (mit einem Bonus von 25.000 USD) und auf 64-bit-Browser mit aktiviertem Enhanced Protected Mode (EPM) abzielen.
Mobile Pwn2Own 2014 (Tokio, Japan)
Beim größten mobilen Event bis dahin wurden sieben Smartphones von sieben verschiedenen Teams angegriffen. Auf allen wurden erfolgreiche Exploits eingesetzt.
Pwn2Own 2014
An zwei Tagen mit rekordverdächtigen Auszahlungen erreichte der Pwn2Own fast eine Million Dollar an Auszahlungen. Dabei wurden 850.000 USD an acht Teilnehmende bezahlt, 385.000 USD wurden nicht vergeben. Beim Pwn4Fun-Wettbewerb zwischen Google und Trend ZDI wurden fast 82.500 USD für wohltätige Zwecke gesammelt. Der Exploit-Unicorn-Hauptpreis im Wert von 150.000 USD – der geschaffen wurde, um Top-Researcher herauszufordern – wurde nicht vergeben.
Mobile Pwn2Own 2013 (Tokio, Japan)
Der Wettbewerb fand erstmals in Asien statt, und der Umfang wurde auf Bluetooth-, WLAN- und USB-basierte Angriffe erweitert. Die Preise reichten von 50.000 bis 100.000 USD und beliefen sich insgesamt auf 300.000 USD. Erstmalig kamen Teilnehmende aus Japan und China zu denen aus den USA hinzu, und die Gewinnsummen erreichten insgesamt 117.500 USD.
Pwn2Own 2013
Der Fokus wurde im Webbrowser über Schwachstellen hinaus auch auf Plug-Ins erweitert. Der Preispool belief sich auf 560.000 USD insgesamt, dabei reichten die einzelnen Preise von 20.000 USD bis 100.000 USD. Die Teilnehmenden gewannen 320.000 USD.
Mobile Pwn2Own 2012 (Amsterdam, Niederlande)
Der erste Wettbewerb in Europa brachte neue Regeln mit sich, die sich ausschließlich auf Mobilgeräte konzentrierten. Die Preise reichten dabei von 30.000 USD bis 100.000 USD (für einen Baseband-Angriff auf ein Mobiltelefon). Zwei Research-Gruppen waren erfolgreich und gewannen insgesamt 60.000 USD.
Pwn2Own 2012
Der Wettbewerb nahm mit einem Punktsystem für Exploits, die auf die neuesten Versionen von IE, Firefox, Safari und Chrome abzielten, ein Capture-the-Flag-Format an. Die Preise im Wert von 60.000 USD, 30.000 USD und 15.000 USD wurden für den 1., 2. und 3. Platz vergeben.
Pwn2Own 2011
Google beteiligte sich als Co-Sponsor nur für Chrome mit einem Preispool von 125.000 USD. Für die Nicht-Chrome-Kategorien wurden jeweils 15.000 USD vergeben. Die Teilnehmenden sicherten sich insgesamt 60.000 USD, aber keiner von ihnen versuchte einen Chrome-Exploit.
Pwn2Own 2010
Die Teilnehmenden erhielten insgesamt 45.000 USD. Dabei wurden 10.000 USD für jedes Web-Ziel und 15.000 USD für jedes mobile Ziel ausgeschrieben.
Pwn2Own 2008-09
Die Reichweite des Pwn2Own-Wettbewerbs wurde auf eine Reihe von Betriebssystemen und Browsern erweitert. Die Trend ZDI führte den Wettbewerb durch und stimmte zu, alle erfolgreich demonstrierten Schwachstellen zu kaufen. Dabei wurden Preise zwischen 5.000 USD und 20.000 USD pro Schwachstelle festgelegt. Die Teilnehmenden erhielten 2008 15.000 USD und 2009 20.000 USD.
Pwn2Own 2007
Der ursprüngliche Wettbewerb, den CanSecWest-Gründer Dragos Ruiu ins Leben gerufen hatte, hob die Sicherheitslücken des Apple Mac OS X-Betriebssystems hervor. Damals glaubten viele, dass OS X weitaus sicherer wäre als die Konkurrenzprodukte. Ursprünglich wurden nur die Laptops als Preise angeboten. Am ersten Tag der Konferenz wurde die Trend ZDI jedoch zur Teilnahme aufgefordert und bot an, alle Schwachstellen, die im Rahmen des Wettbewerbs genutzt wurden, zu einem Festpreis von 10.000 USD zu kaufen.