Jak to się wszystko zaczęło
Pwn2Own to coś więcej niż tylko konkurs, to poligon doświadczalny dla innowacji i potężne przypomnienie o wysokiej stawce w dziedzinie bezpieczeństwa. Ujawnia podatności w powszechnie używanych urządzeniach i oprogramowaniu, służąc jako krytyczny punkt kontrolny postępów w zakresie cyberbezpieczeństwa od poprzedniego roku.
Od czasu powstania w 2007 roku na konferencji bezpieczeństwa CanSecWest w Vancouver w Kanadzie, Pwn2Own znacznie się rozwinął i obecnie organizuje 3 wydarzenia rocznie.
Ewolucja Pwn2Own: zdobywanie nagród
Pwn2Own rozrósł się z małego konkursu z nagrodami w wysokości 10 000 USD do najbardziej prestiżowego konkursu hakerskiego na świecie, w którym nagrodą jest ponad 1 milion USD na wydarzenie. Ewoluujące zasady odzwierciedlają krajobraz zmieniających się zagrożeń, rozszerzając się o przeglądarki, systemy operacyjne, serwery i od 2019 r. samochody. Ranga tego wydarzenia umożliwiła inicjatywieTrend Zero Day Initiative™ (ZDI) nawiązanie kontaktu z czołowymi badaczami na całym świecie.
Proces ujawniania informacji w ramach Pwn2Own jest jednym z najlepszych forów dla dostawców i badaczy, którzy mogą bezpośrednio współpracować, omawiając luki w zabezpieczeniach w czasie rzeczywistym. Ranga tego wydarzenia umożliwiła nam nawiązanie współpracy z najlepszymi badaczami na całym świecie.
Pwn2Own 2025
Jesień 2025 r.
Nadchodzą ekscytujące wydarzenia
Łączymy różne rzeczy i pracujemy nad czymś wielkim. Bądź na bieżąco i sprawdź wszystkie szczegóły — nie przegap tego!
Maj 2025 r.
Pwn2Own Berlin
Pwn2Own pojawi się w Berlinie w Niemczech w maju tego roku z nowymi wyzwaniami dla najlepszych badaczy bezpieczeństwa na świecie. W tym roku wprowadzamy kategorię AI, wykraczającą poza wstrzykiwanie promptów do pełnego wykonywania kodu na frameworkach AI. Powraca również kategoria Tesla, w której badacze koncentrują się na najnowszych systemach pojazdów, w tym Modelu 3 z 2024 r. i Modelu Y z 2025 r. Z nagrodami w wysokości ponad 1 000 000 USD i kategoriami obejmującymi przeglądarki internetowe, bezpieczeństwo w chmurze, aplikacje korporacyjne i nie tylko, konkurs nadal ewoluuje wraz z krajobrazem bezpieczeństwa.
Styczeń 2025
Spojrzenie wstecz na Pwn2Own Automotive 2025
Czy słyszałeś o ostatecznym wyzwaniu dla cyberbezpieczeństwa w branży motoryzacyjnej na Pwn2Own Automotive 2025? Spotkanie zgromadziło największe talenty, aby zaprezentować swoje umiejętności liderom branży, jednocześnie napędzając innowacje, aby pojazdy były bezpieczniejsze dla wszystkich. Wydarzenie oferowało platformę dla przełomowych osiągnięć i szansę na zdobycie nagród pieniężnych, pucharów i globalnego uznania. Przyznaliśmy 886 250 USD za 49 unikalnych luk typu 0-day, w tym za badania nad ładowarkami pojazdów elektrycznych, które nigdy wcześniej nie zostały publicznie zademonstrowane. Sina Kheirkhah zdobyła tytuł Master of Pwn, a jej łączna wygrana to 222 250 USD.
Pełny obraz: Pwn2Own na przestrzeni lat od premiery w 2007 roku
Pwn2Own Automotive 2025
Wydarzenie, które odbyło się w dniach 22-24 stycznia w Tokio, zgromadziło jednych z najlepszych badaczy na świecie, którzy testowali najnowsze komponenty motoryzacyjne. Kluczowymi partnerami byli giganci innowacji VicOne i Tesla.
Pwn2Own Irlandia 2024
Wydarzenie 2024, które odbyło się w biurach Trend Micro w Cork w Irlandii, wprowadziło nowe kategorie, w tym kategorię WhatsApp sponsorowaną przez Meta, która oferowała potencjalne zarobki w wysokości do 300 000 USD. Ponadto po raz pierwszy zaprezentowano urządzenia obsługujące sztuczną inteligencję, obejmujące smartfony, systemy NAS i kamery z funkcjami AI. W ciągu 4 dni przyznaliśmy ponad 1 milion dolarów za ponad 70 luk 0-day i ukoronowaliśmy Viettel Cyber Security tytułem Master of Pwn.
Pwn2Own Vancouver 2024
Pwn2Own powrócił na konferencję CanSecWest w Vancouver w Kanadzie, aby podkreślić najnowsze exploity w serwerach i aplikacjach korporacyjnych. Łącznie przyznaliśmy 1 132 500 USD za 29 unikalnych luk 0-day. Manfred Paul został mianowany mistrzem Pwn. Zdobył 202 500 USD i 25 punktów łącznie, wykorzystując wszystkie cztery przeglądarki podczas konkursu (Chrome, Edge, Safari i Firefox). Wydarzenie to wprowadziło również Dockera jako cel, a zespół z STAR Labs SG połączył dwa błędy, aby wykonać ucieczkę z kontenera. Valentina Palmiotti wykorzystała błąd Improper Update of Reference Count do eskalacji uprawnień w systemie Windows 11. Zostało to później wyróżnione nagrodą „Najlepsze podniesienie uprawnień” w konkursie Pwn Awards 2024. Inne ważne wydarzenia to exploity Oracle VirtualBox i eskalacja uprawnień we wszystkich głównych systemach operacyjnych.
Pwn2Own Automotive 2024
Inauguracyjny projekt Pwn2Own Automotive transmitował na żywo z Tokio na konferencji Automotive World. Odzew przekroczył nasze oczekiwania, z ponad 45 zgłoszeniami obejmującymi wszystkie kategorie. Podczas całego wydarzenia przyznaliśmy 1 323 750 USD i wykryliśmy 49 unikalnych luk typu zero-day.
Pwn2Own Toronto 2023
Konsumencka edycja Pwn2Own powróciła do biur Trend w Toronto, obejmując takie cele jak telefony komórkowe, systemy nadzoru i małe konfiguracje biurowe. Wydarzenie przyciągnęło znaczną uwagę, a sprzedawcy w ostatniej chwili wprowadzili zabezpieczenia, a badacze zademonstrowali exploity o dużym wpływie. Synacktiv zaprezentował exploit zero-click na kamerę Wyze, podczas gdy udany atak na Xiaomi 13 Pro doprowadził Xiaomi do wyłączenia części swojej globalnej sieci. W sumie przyznano 1 038 500 USD za 58 unikalnych luk 0-days, a zespół Viettel zdobył tytuł Master of Pwn z 180 000 USD i 30 punktami.
Pwn2Own Vancouver 2023
Na CanSecWest, Pwn2Own ujawnił 27 luk zero-days i przyznał 1 035 000 dolarów oraz Tesla Model 3. Tesla wykorzystuje bramę i wiele podsystemów, uzyskując dostęp do sieci root. Naruszono także bezpieczeństwo systemów SharePoint i macOS w M2, a luki w zabezpieczeniach systemu Windows zostały odkryte w szerokim zakresie. Synacktiv zdobył tytuł Master of Pwn za 530 000 USD, 53 punkty i Tesla Model 3.
Pwn2Own Miami 2023
Konkurs ICS/SCADA powrócił na konferencję S4 w Miami Beach na Florydzie, ujawniając 27 luk zero-days dla 10 produktów z 16 zgłoszeń. Po raz pierwszy sztuczna inteligencja odegrała rolę, a Claroty wykorzystał ChatGPT w łańcuchu sześciu exploitów wymierzonych w Softing Secure Integration Server. Nagrody wyniosły łącznie 153 500 USD, a Team 82 for Claroty zdobył tytuł Master of Pwn z 98 500 USD.
Pwn2Own Toronto 2022
Pierwsze Toronto Pwn2Own, organizowane w biurach Trend Micro, stało się największym wydarzeniem w historii, z 66 wpisami z 36 zespołów skierowanych do 13 produktów. Nagrody wyniosły łącznie 989 750 USD za 63 luki zero-days. Do najważniejszych wydarzeń należała kategoria SOHO Smashup, exploity Samsung Galaxy S22 i drukarka Lexmark zamieniona w szafę grającą. Firma DEVCORE zdobyła tytuł Master of Pwn z kwotą 142 500 USD.
Pwn2Own Vancouver 2022
15. rocznica powstania Pwn2Own w Vancouver przyznała 1 155 000 USD za 25 luk zero-days. Dzień pierwszy ustanowił rekord 800 000 USD, w tym exploity Microsoft Teams. Dzień drugi obejmował włamania do systemu Tesla Infotainment, podczas gdy dzień trzeci przyniósł eskalację uprawnień w systemie Windows 11. STAR Labs zdobyło tytuł Master of Pwn z 270 000 USD i 27 punktami.
Pwn2Own Miami 2022
Druga edycja Pwn2Own Miami na Florydzie odbyła się w dniach 19-21 kwietnia 2022 r. w Fillmore w South Beach w Miami. W ciągu trzech dni konkursu uczestnicy wygrali 400 000 dolarów za 26 unikalnych luk zero-days. Zespół Daana Keupera i Thijsa Alkemade'a z Computest Sector 7 zdobył tytuł Master of Pwn, zarabiając 90 000 USD. Daan Keuper i Thijs Alkemade zaprezentowali najważniejszy punkt konkursu, omijając kontrolę zaufanych aplikacji w standardzie OPC Foundation OPC UA .NET.
Pwn2Own Austin 2021
Ze względu na ciągłe ograniczenia w podróżowaniu, konsumencka wersja Pwn2Own odbyła się w siedzibie Trend ZDI w Austin w Teksasie. Wydarzenie to przyciągnęło dużą uwagę społeczności badawczej i okazało się największym wydarzeniem w historii Pwn2Own, obejmującym 58 oddzielnych zgłoszeń od ponad 22 różnych zespołów, których celem było 13 różnych produktów. Ostatecznie przyznaliśmy 1 081 250 USD za 61 unikalnych luk zero-day - drugą co do wielkości wypłatę w historii Pwn2Own. Wyróżniającym się momentem był exploit zmieniający drukarkę HP w szafę grającą, odtwarzającą Thunderstruck AC/DC przez wewnętrzny głośnik.
Pwn2Own Vancouver 2021 (From Austin with Love)
W dniach 6-8 kwietnia 2021 r. w Austin w Teksasie odbył się wirtualny konkurs Pwn2Own. W tym roku wprowadzono kategorię Enterprise Communications, w której znalazły się Microsoft Teams i Zoom Messenger. Pierwszego dnia zagrożone były przeglądarki Apple Safari, Microsoft Exchange, Microsoft Teams, Windows 10 i Ubuntu. Zoom Messenger padł ofiarą exploita typu zero-click drugiego dnia, a Parallels Desktop, Google Chrome i Microsoft Edge również zostały skutecznie wykorzystane. W konkursie przyznano ponad 1 200 000 USD za 23 unikalne luki zero-day. Tytuł Master of Pwn został podzielony w trójstronnym remisie między Team DEVCORE, OV oraz Daan Keuper i Thijs Alkemade.
Pwn2Own Tokio (Live from Toronto) 2020
W związku z utrzymującą się blokadą COVID-19, konferencja PacSec ponownie odbyła się wirtualnie. Wydarzenie było transmitowane na żywo na Twitchu i YouTube, a wywiady i starsze filmy wypełniały lukę między próbami. W konkursie tym uwzględniono również serwery sieci pamięci masowej (SAN). W konkursie przyznano 136 500 dolarów za 23 unikalne błędy. Pedro Ribeiro i Radek Domański zdobyli tytuł Master of Pwn dzięki dwóm udanym exploitom SAN.
Pwn2Own Vancouver 2020
Ze względu na COVID-19 wydarzenie odbyło się wirtualnie, umożliwiając badaczom zgłaszanie exploitów z wyprzedzeniem. Badacze Trend ZDI wykonali exploity z domu, nagrywając zarówno ekran, jak i rozmowę Zoom z zawodnikami. W ciągu 2 dni 6 udanych demonstracji otrzymało 270 000 USD, a 13 unikalnych błędów zostało zakupionych w Adobe Reader, Apple Safari i macOS, Microsoft Windows i Oracle VirtualBox. Jako specjalną atrakcję, badacz Trend ZDI Lucas Leong zaprezentował niezałatany błąd Oracle VirtualBox. Amat Cama i Richard Zhu zdobyli tytuł Master of Pwn z wygranymi w wysokości $90,000.
Pwn2Own Miami 2020
Pierwsza w historii konferencja Pwn2Own w Miami, zorganizowana podczas konferencji S4, koncentrowała się na przemysłowych systemach kontroli (ICS). Badacze atakowali wiele kategorii, w tym serwery sterowania, serwery OPC Unified Architecture (OPC UA), bramy DNP3, interfejsy człowiek-maszyna (HMI) i oprogramowanie Engineering Workstation Software (EWS). 8 konkurencyjnych grup z powodzeniem wykorzystało co najmniej jeden cel w każdej kategorii. Przyznano ponad 280 000 dolarów w gotówce i nagrodach, a ponad dwa tuziny luk zero-day zostało zdobytych. Steven Seeley i Chris Anastasio zdobyli tytuł Master of Pwn, wygrywając 80 000 dolarów.
Pwn2Own Tokio 2019
Facebook został uwzględniony w konkursie, przynosząc swój system Oculus Quest VR. Rozszerzyliśmy również konkurs o kolejne urządzenia IoT, takie jak inteligentne głośniki, telewizory i routery bezprzewodowe. Łącznie w ciągu dwóch dni konkursu przyznaliśmy ponad 315 000 dolarów, kupując 18 różnych błędów w różnych produktach. Z 195 000 USD i 18,5 punktami, duet Fluoroacetate Richard Zhu i Amat Cama zachował tytuł Master of Pwn - trzeci z rzędu.
Pwn2Own Vancouver 2019
We współpracy z nami Tesla zaprezentowała Model 3 w konkursie, oferując 6 punktów centralnych dla badań w zakresie. Dodatek ten dołączył do tradycyjnych kategorii, takich jak przeglądarki internetowe, oprogramowanie do wirtualizacji, aplikacje korporacyjne i Windows RDP. W ciągu trzech dni Trend ZDI przyznał 545 000 dolarów za 19 unikalnych luk w zabezpieczeniach. Amat Cama i Richard Zhu sięgnęli po tytuł Master of Pwn, zdobywając 375 000 dolarów i Model 3.
Pwn2Own Tokio 2018
Dodaliśmy cele IoT do konkursu i zmieniliśmy jego nazwę z Mobile Pwn2Own na Pwn2Own Tokyo. Chociaż w konkursie uwzględniono inteligentne głośniki, kamery internetowe i inteligentne zegarki, żadne z tych urządzeń nie było celem. W konkursie przyznano łącznie 325 000 USD, kupując jednocześnie 18 raportów o błędach zero-day. Zdobywając 45 punktów i 215 000 dolarów, Amat Cama i Richard Zhu zdobyli tytuł Master of Pwn.
Pwn2Own 2018
Trend ZDI nawiązał współpracę z Microsoft, witając VMware jako sponsora w 5 kategoriach celów: wirtualizacja, przeglądarki internetowe, aplikacje korporacyjne, serwery oraz specjalna kategoria Windows Insider Preview Challenge. Udział zespołów sponsorowanych przez firmy spadł, ponieważ chińskie zespoły nie mogły już w nich uczestniczyć. W konkursie przyznano 267 000 dolarów za tuzin exploitów zero-day i koronowano Richarda Zhu (fluorescence) na mistrza Pwn.
Mobile Pwn2Own 2017 (Tokyo, Japonia)
Jako nasz największy konkurs mobilny w historii, zakupiliśmy w sumie 32 unikalne błędy podczas konkursu, a uczestnicy zdobyli nagrody o wartości 515 000 USD. Tencent Keen Security Lab zdobył tytuł Master of Pwn z 44 punktami. Był to pierwszy konkurs, w którym wycofanie się z próby skutkowało ujemnymi punktami w Master of Pwn.
Pwn2Own 2017
Dziesiąta rocznica konkursu była najbardziej pracowita w historii, ponieważ Trend ZDI wydał 833 000 USD na pozyskanie 51 różnych błędów zero-day. Duża liczba zgłoszeń wymagała dwóch ścieżek w 2. dniu, aby pomieścić wszystkie zgłoszenia. W tym konkursie odnotowano również dwa udane przeniesienia systemu operacyjnego z gościa na hosta w VMware. Zespół 360 Security wygrał Master of Pwn, zdobywając łącznie 63 punkty. W tym roku zespoły zgłaszały błędy przed konkursem, podejmując strategiczne wysiłki w celu wyeliminowania luk w zabezpieczeniach swoich konkurentów.
Mobile Pwn2Own 2016 (Tokyo, Japonia)
Konkurs powrócił do Tokio z iPhone'em 6s, Google Nexus 6p i Galaxy S7 jako celami. Wszystkie zostały wykorzystane, a w konkursie przyznano łącznie 375 000 dolarów Zespół Tencent Keen Security Lab otrzymał tytuł Master of Pwn z łączną wygraną w wysokości 210 000 USD i 45 punktami.
Pwn2Own 2016
W tym roku wprowadzono Master of Pwn - tytuł ogólnego zwycięzcy Pwn2Own. Ponieważ o kolejności w konkursie decyduje losowanie, uczestnicy z pechowym losowaniem mogą zaprezentować świetne badania, ale otrzymają mniej pieniędzy, ponieważ wartość kolejnych rund spada. Punkty przyznawane za każde udane zgłoszenie nie ulegają jednak zmniejszeniu. Ktoś może mieć pechowy remis, a mimo to zgromadzić najwięcej punktów. Drużyna Tencent Security Team Sniper zdobyła pierwszy tytuł Master of Pen z 38 punktami. Łącznie w konkursie przyznano 460 000 dolarów za 21 luk w zabezpieczeniach.
Mobile Pwn2Own 2015
Zespół zrobił sobie rok przerwy, aby ustalić, jak najlepiej przetwarzać zgłoszenia, zachowując zgodność z Porozumieniem z Wassanaar.
Pwn2Own 2015
Poziom trudności znacznie wzrósł w konkursie 2015, ponieważ nagroda „jednorożca” z 2014 roku stała się standardem dla wszystkich celów Windows. Skuteczne exploity musiały ominąć Enhanced Mitigation Experience Toolkit (EMET) Microsoftu we wszystkich systemach Windows, wykonać kod na poziomie SYSTEMU (z premią w wysokości 25 000 USD) i atakować 64-bitowe przeglądarki z włączonym trybem Enhanced Protected Mode (EPM).
Mobile Pwn2Own 2014 (Tokyo, Japonia)
Nasze największe jak dotąd wydarzenie mobilne, w którym siedem telefonów było celem siedmiu różnych zespołów. Wszystkie zostały pomyślnie zbadane.
Pwn2Own 2014
2 rekordowe dni wypłat sprawiły, że Pwn2Own zbliżył się do swojego pierwszego konkursu wartego milion dolarów, przyznając 850 000 USD 8 uczestnikom, a 385 000 USD w nagrodach pozostało nieodebranych. Konkurs Pwn4Fun pomiędzy Google i Trend ZDI zebrał 82 500 dolarów na cele charytatywne, podczas gdy nagroda główna Exploit Unicorn w wysokości 150 000 dolarów - stworzona, aby rzucić wyzwanie najlepszym badaczom - pozostała nieodebrana.
Mobile Pwn2Own 2013 (Tokyo, Japonia)
Konkurs został po raz pierwszy przeniesiony do Azji, a jego zakres został rozszerzony o ataki oparte na Bluetooth, WiFi i USB. Nagrody wahały się od 50 000 USD do 100 000 USD, co dało sumę 300 000 USD. Zawodnicy z Japonii i Chin po raz pierwszy dołączyli do uczestników z USA, a łączna wygrana wyniosła $117,500.
Pwn2Own 2013
Rozszerzono nacisk poza luki w zabezpieczeniach przeglądarki internetowej na wtyczki. Pula nagród wyniosła 560 000 USD, a nagrody indywidualne wahały się od 20 000 USD do 100 000 USD. Uczestnicy wygrali 320 000 USD.
Mobile Pwn2Own 2012 (Amsterdam, Holandia)
Odbywający się po raz pierwszy w Europie konkurs wprowadził nowe zasady skupiające się wyłącznie na urządzeniach mobilnych, oferując nagrody w wysokości od 30 000 USD do 100 000 USD (za atak na pasmo bazowe sieci komórkowej). W konkursie wzięły udział 2 grupy badaczy, które wygrały łącznie 60 000 dolarów.
Pwn2Own 2012
Konkurs przyjął format capture-the-flag z systemem punktowym dla exploitów atakujących najnowsze wersje IE, Firefox, Safari i Chrome. Nagrody w wysokości 60 000 USD, 30 000 USD i 15 000 USD zostały przyznane odpowiednio za pierwsze, drugie i trzecie miejsce.
Pwn2Own 2011
Google zgłosiło się jako współsponsor tylko dla Chrome z pulą nagród w wysokości 125 000 USD. Kategorie inne niż chromowe oferowały 15 000 USD za sztukę. Konkurenci wzięli pod uwagę 60 000 dolarów, ale nikt nie próbował wykorzystać luki Chrome.
Pwn2Own 2010
Zawodnicy zarobili łącznie 45 000 USD, z czego 10 000 USD przyznano za każdy cel internetowy, a 15 000 USD za każdy cel mobilny.
Pwn2Own 2008-09
Zakres konkursu Pwn2Own został rozszerzony, aby objąć szerszą gamę systemów operacyjnych i przeglądarek. Trend ZDI przeprowadził konkurs i zgodził się kupić wszystkie pomyślnie wykazane luki w zabezpieczeniach, przyznając nagrody w wysokości od 5 000 do 20 000 USD za każdą lukę. Zawodnicy wygrali 15 000 dolarów w 2008 roku i 20 000 dolarów w 2009 roku.
Pwn2Own 2007
Zainicjowany przez założyciela CanSecWest, Dragosa Ruiu, inauguracyjny konkurs zwrócił uwagę na brak bezpieczeństwa systemu operacyjnego Mac OS X firmy Apple. W tamtym czasie panowało powszechne przekonanie, że OS X jest znacznie bezpieczniejszy od swoich konkurentów. Początkowo tylko laptopy były oferowane jako nagrody. Jednak pierwszego dnia konferencji Trend ZDI został poproszony o udział i zaoferował zakup wszelkich luk wykorzystanych w konkursie za stałą cenę 10 000 USD.