Como tudo começou
Mais do que apenas uma competição, o Pwn2Own é um campo de provas para inovação e um poderoso lembrete dos altos riscos na segurança. Ele expõe vulnerabilidades em dispositivos e softwares comumente usados, servindo como um ponto de verificação crítico para avanços em segurança cibernética desde o evento do ano anterior.
Desde sua criação na conferência de segurança CanSecWest de 2007 em Vancouver, Canadá, o Pwn2Own cresceu significativamente e agora apresenta 3 eventos anualmente.
A evolução do Pwn2Own: colhendo os frutos
O Pwn2Own cresceu de um pequeno concurso com prêmios de US$ 10.000 para a competição de hackers mais prestigiada do mundo, premiando mais de US$ 1 milhão por evento. Suas regras em evolução refletem o cenário de ameaças em constante mudança, expandindo-se para cobrir navegadores, sistemas operacionais, servidores e, desde 2019, automóveis. Essa proeminência permitiu que a Zero Day Initiative™ (ZDI) da Trend se envolvesse com os principais pesquisadores do mundo todo.
O processo de divulgação do Pwn2Own é um dos melhores fóruns para fornecedores e pesquisadores colaborarem diretamente, discutindo vulnerabilidades em tempo real. Essa proeminência nos permitiu interagir com os principais pesquisadores do mundo todo.
Pwn2Own 2025
Outono 2025
Eventos emocionantes estão chegando
Estamos juntando as coisas e trabalhando em algo grande. Fique ligado e volte em breve para conferir todos os detalhes — você não vai querer perder!
Maio 2025
Pwn2Own Berlim
Pwn2Own chega em Berlim, Alemanha! Fique ligado, pois revelaremos as regras, o local, os prêmios e muito mais nas próximas semanas.
À medida que nos aproximamos do 17º ano da competição original, estamos evoluindo para refletir o cenário mutável da pesquisa em segurança cibernética. Nosso objetivo é permanecer alinhado com a comunidade de segurança ofensiva, garantindo que os principais pesquisadores tenham a oportunidade de mostrar sua expertise nos mais recentes avanços em segurança dos principais fornecedores do setor.
Janeiro 2025
Uma retrospectiva da Pwn2Own Automotive 2025
Você ouviu falar sobre o maior desafio para a segurança cibernética automotiva na Pwn2Own Automotive 2025? Ela reuniu os melhores talentos para mostrar suas habilidades aos líderes do setor e, ao mesmo tempo, impulsionar a inovação para tornar os veículos mais seguros para todos. O evento ofereceu uma plataforma para contribuições inovadoras e a chance de ganhar prêmios em dinheiro, troféus e reconhecimento global. Concedemos US$ 886.250 para 49 dia zero exclusivos, incluindo pesquisas sobre carregadores de veículos elétricos que nunca haviam sido demonstrados publicamente antes. Sina Kheirkhah venceu o Master of Pwn com um total de US$ 222.250 ganhos.
O quadro completo: Pwn2Own ao longo dos anos desde seu lançamento em 2007
Pwn2Own Automotive 2025
Realizado de 22 a 24 de janeiro em Tóquio, o evento reuniu alguns dos melhores pesquisadores do mundo para testar os mais recentes componentes automotivos. Os principais parceiros incluíram os gigantes da inovação VicOne e Tesla.
Pwn2Own Irlanda 2024
Realizado nos escritórios da Trend Micro em Cork, Irlanda, o evento de 2024 introduziu novas categorias, incluindo a categoria WhatsApp patrocinada pela Meta, que oferecia ganhos potenciais de até US$ 300.000. Além disso, dispositivos habilitados para IA foram apresentados pela primeira vez, abrangendo smartphones, sistemas NAS e câmeras com recursos de IA. Em 4 dias, concedemos mais de US$ 1 milhão para mais de 70 vulnerabilidades de dia 0 e coroamos a Viettel Cyber Security como Master of Pwn.
Pwn2Own Vancouver 2024
O Pwn2Own retornou à conferência CanSecWest em Vancouver, Canadá, para destacar as últimas explorações em servidores e aplicativos corporativos. No total, concedemos US$ 1.132.500 para 29 dias 0 exclusivos. Manfred Paul foi coroado Mestre do Pwn. Ele ganhou US$ 202.500 e 25 pontos no total ao explorar todos os quatro navegadores durante a competição (Chrome, Edge, Safari e Firefox). Este evento também apresentou o Docker como um alvo, e a equipe do STAR Labs SG combinou dois bugs para executar o escape do contêiner. Valentina Palmiotti usou um bug de atualização imprópria da contagem de referências para aumentar privilégios no Windows 11. Mais tarde, isso foi premiado como “Best Privilege Escalation” no Pwnie Awards de 2024. Outros destaques incluíram explorações do Oracle VirtualBox e escalonamentos de privilégios em todos os principais sistemas operacionais.
Pwn2Own Automotivo 2024
A edição inaugural do Pwn2Own Automotive foi transmitida ao vivo de Tóquio na conferência Automotive World. A resposta superou nossas expectativas, com mais de 45 inscrições abrangendo todas as categorias. Concedemos US$ 1.323.750 durante o evento e descobrimos 49 dias zero exclusivos.
Pwn2Own Toronto 2023
A edição para o consumidor do Pwn2Own retornou aos escritórios da Trend em Toronto, apresentando alvos como telefones celulares, sistemas de vigilância e pequenas configurações de escritório. O evento atraiu bastante atenção, com fornecedores fazendo esforços de segurança de última hora e pesquisadores demonstrando explorações de alto impacto. A Synacktiv demonstrou um exploit de clique zero na câmera Wyze, enquanto um ataque bem-sucedido no Xiaomi 13 Pro levou a Xiaomi a desabilitar partes de sua rede global. No total, US$ 1.038.500 foram concedidos por 58 dias 0 exclusivos, com a Equipe Viettel ganhando o título de Mestre do Pwn com US$ 180.000 e 30 pontos.
Pwn2Own Vancouver 2023
Na CanSecWest, a Pwn2Own divulgou 27 ataques de dia zero e concedeu US$ 1.035.000 e um Tesla Model 3. Os exploits do Tesla tinham como alvo o Gateway e vários subsistemas, obtendo acesso root. O SharePoint e o macOS no M2 também foram comprometidos, com vulnerabilidades de amplo alcance no Windows descobertas. Synacktiv venceu o Master of Pwn com US$ 530.000, 53 pontos e o Tesla Model 3.
Pwn2Own Miami 2023
O concurso ICS/SCADA retornou à conferência S4 em Miami Beach, Flórida, divulgando 27 zero-days em 10 produtos de 16 inscrições. Pela primeira vez, a IA desempenhou um papel, com a Claroty usando o ChatGPT em uma cadeia de seis explorações visando o Softing Secure Integration Server. Os prêmios totalizaram US$ 153.500, e a Equipe 82 de Claroty conquistou o título de Master of Pwn com US$ 98.500.
Pwn2Own Toronto 2022
O primeiro Toronto Pwn2Own, realizado nos escritórios da Trend Micro, se tornou o maior evento da história, com 66 inscrições de 36 equipes visando 13 produtos. Os prêmios totalizaram US$ 989.750 por 63 dias zero. Os destaques incluíram a categoria SOHO Smashup, exploits do Samsung Galaxy S22 e uma impressora Lexmark transformada em jukebox. DEVCORE venceu o Master of Pwn com US$ 142.500.
Pwn2Own Vancouver 2022
O 15º aniversário do Pwn2Own em Vancouver concedeu US$ 1.155.000 por 25 dias zero. O primeiro dia estabeleceu um recorde de US$ 800.000, incluindo exploits do Microsoft Teams. O segundo dia contou com hacks do Tesla Infotainment, enquanto o terceiro dia viu escalonamentos de privilégios do Windows 11. A STAR Labs conquistou o título de Master of Pwn com US$ 270.000 e 27 pontos.
Pwn2Own Miami 2022
A segunda edição do Pwn2Own Miami, Flórida, ocorreu de 19 a 21 de abril de 2022, no Fillmore em South Beach, Miami. Ao longo dos três dias de competição, os participantes ganharam US$ 400.000 por 26 dias 0 exclusivos. A equipe de Daan Keuper e Thijs Alkemade do Computest Sector 7 foi premiada como Master of Pwn, ganhando US$ 90.000. Daan Keuper e Thijs Alkemade mostraram um destaque do concurso ao ignorar a verificação de aplicativo confiável no OPC Foundation OPC UA .NET Standard.
Pwn2Own Austin 2021
Com as restrições de viagem contínuas, a versão do consumidor do Pwn2Own ocorreu na sede da Trend ZDI em Austin, Texas. Este evento atraiu muita atenção da comunidade de pesquisa e acabou se tornando o maior evento da história do Pwn2Own, incluindo 58 inscrições separadas de mais de 22 equipes diferentes visando 13 produtos diferentes. No final, concedemos US$ 1.081.250 para 61 vulnerabilidades exclusivas de 0-day – o segundo maior pagamento da história do Pwn2Own. Um momento de destaque foi uma façanha que transformou uma impressora HP em uma jukebox, tocando Thunderstruck do AC/DC em seu alto-falante interno.
Pwn2Own Vancouver 2021 (De Austin com amor)
De 6 a 8 de abril de 2021, o concurso Pwn2Own foi realizado em Austin, Texas, e virtualmente. Este ano, foi introduzida a categoria Comunicações Empresariais, com destaque para o Microsoft Teams e o Zoom Messenger. No primeiro dia, o Apple Safari, o Microsoft Exchange, o Microsoft Teams, o Windows 10 e o Ubuntu foram todos comprometidos. O Zoom Messenger sofreu uma falha de segurança de zero cliques no segundo dia, com o Parallels Desktop, o Google Chrome e o Microsoft Edge também sendo explorados com sucesso. O concurso concedeu mais de US$ 1.200.000 para 23 zero-days exclusivos. O título de Master of Pwn foi dividido em um empate triplo entre Team DEVCORE, OV e Daan Keuper e Thijs Alkemade.
Pwn2Own Tóquio (Ao vivo de Toronto) 2020
Com o bloqueio contínuo da COVID-19, a conferência PacSec foi novamente realizada virtualmente. O evento foi transmitido ao vivo no Twitch e no YouTube, enquanto entrevistas e vídeos antigos preenchiam o intervalo entre as tentativas. Este concurso também incluiu servidores de rede de área de armazenamento (SAN) como alvo. O concurso concedeu US$ 136.500 para 23 insetos exclusivos. Pedro Ribeiro e Radek Domanski conquistaram o título de Master of Pwn com duas façanhas bem-sucedidas no SAN.
Pwn2Own Vancouver 2020
Devido à COVID-19, o evento foi realizado virtualmente, permitindo que os pesquisadores enviassem suas façanhas com antecedência. Os pesquisadores da Trend ZDI executaram as explorações em casa, gravando a tela e uma chamada do Zoom com os concorrentes. Ao longo de 2 dias, 6 demonstrações bem-sucedidas receberam US$ 270.000, com 13 bugs exclusivos adquiridos no Adobe Reader, Apple Safari e macOS, Microsoft Windows e Oracle VirtualBox. Como destaque especial, o pesquisador da Trend ZDI, Lucas Leong, apresentou um bug não corrigido do Oracle VirtualBox. Amat Cama e Richard Zhu ganharam o título de Master of Pwn com US$ 90.000 em ganhos.
Pwn2Own Miami 2020
Organizado na conferência S4, o primeiro Pwn2Own em Miami se concentrou em Industrial Control Systems (ICS). Os pesquisadores miraram em diversas categorias, incluindo servidores de controle, servidores OPC Unified Architecture (OPC UA), gateways DNP3, interfaces homem-máquina (HMI) e software de estação de trabalho de engenharia (EWS). 8 grupos concorrentes exploraram com sucesso pelo menos um alvo em cada categoria. Mais de US$ 280.000 em dinheiro e prêmios foram concedidos, com mais de duas dúzias de vulnerabilidades de dia zero compradas. Steven Seeley e Chris Anastasio ganharam o título de Master of Pwn com US$ 80.000 em ganhos.
Pwn2Own Tóquio 2019
O Facebook foi incluído, trazendo seu sistema Oculus Quest VR para o concurso. Também expandimos o concurso para incluir mais dispositivos de IoT, como alto-falantes inteligentes, televisores e roteadores sem fio. No total, premiamos mais de US$ 315.000 ao longo dos dois dias de concurso, comprando 18 insetos diferentes em vários produtos. Com US$ 195.000 e 18,5 pontos, a dupla de Fluoroacetato, Richard Zhu e Amat Cama, manteve seu título de Master of Pwn – o terceiro consecutivo.
Pwn2Own Vancouver 2019
Em parceria conosco, a Tesla apresentou um Modelo 3 no concurso, oferecendo 6 pontos focais para pesquisa dentro do escopo. Essa adição se juntou a categorias tradicionais como navegadores da web, software de virtualização, aplicativos corporativos e Windows RDP. Ao longo de três dias, a Trend ZDI concedeu US$ 545.000 para 19 vulnerabilidades exclusivas. Amat Cama e Richard Zhu conquistaram o título de Master of Pwn, ganhando US$ 375.000 e o Model 3.
Pwn2Own Tokyo 2018
Adicionamos alvos de IoT ao concurso e o renomeamos de Mobile Pwn2Own para Pwn2Own Tokyo. Embora alto-falantes inteligentes, webcams e relógios inteligentes tenham sido incluídos no concurso, nenhum desses dispositivos foi visado. O concurso concedeu um total de US$ 325.000 na compra de 18 relatórios de bugs de dia 0. Com 45 pontos e US$ 215.000, Amat Cama e Richard Zhu ganharam o título de Master of Pwn.
Pwn2Own 2018
A Trend ZDI fez uma parceria com a Microsoft e recebeu a VMware como patrocinadora para cinco categorias de alvos: virtualização, navegadores da web, aplicativos empresariais, servidores e uma categoria especial do Windows Insider Preview Challenge. A participação de equipes patrocinadas por empresas diminuiu, pois as equipes chinesas não foram mais autorizadas a participar. O concurso concedeu US$ 267.000 para uma dúzia de explorações de dia 0 e coroou Richard Zhu (fluorescência) como o Mestre do Pwn.
Mobile Pwn2Own 2017 (Tóquio, Japão)
Como nosso maior concurso para dispositivos móveis, compramos um total de 32 bugs exclusivos durante o concurso e os participantes ganharam US$ 515.000 em prêmios. O Tencent Keen Security Lab foi coroado Mestre do Pwn com 44 pontos. Esta foi a primeira competição em que desistir de uma tentativa gerou pontos negativos para o Master of Pwn.
Pwn2Own 2017
O décimo aniversário do concurso foi o mais movimentado de todos os tempos, já que a Trend ZDI gastou US$ 833.000 adquirindo 51 bugs de dia 0 diferentes. O alto número de inscrições exigiu duas faixas no Dia 2 para acomodar todas as inscrições. Esta competição também viu duas elevações bem-sucedidas de sistemas operacionais convidados para hosts no VMware. A equipe da 360 Security venceu o Master of Pwn marcando 63 pontos no total. Este ano, as equipes enviaram bugs antes da competição, em um esforço estratégico para eliminar as vulnerabilidades dos concorrentes.
Mobile Pwn2Own 2016 (Tóquio, Japão)
A competição retornou a Tóquio com o iPhone 6s, o Google Nexus 6p e o Galaxy S7 como alvos. Todos foram explorados, já que o concurso concedeu US$ 375.000 no total. A equipe do Tencent Keen Security Lab recebeu o título de Master of Pwn com ganhos totais de US$ 210.000 e 45 pontos.
Pwn2Own 2016
Este ano foi introduzido o Master of Pwn – o título do vencedor geral do Pwn2Own. Como a ordem do concurso é decidida por sorteio, os concorrentes com um sorteio azarado podem apresentar uma ótima pesquisa, mas receber menos dinheiro, pois as rodadas subsequentes perdem valor. No entanto, os pontos concedidos para cada inscrição bem-sucedida não diminuem. Alguém pode ter um sorteio azarado e ainda assim acumular mais pontos. A equipe da Tencent Security Team Sniper conquistou o primeiro título de Master of Pen com 38 pontos. No geral, o concurso concedeu US$ 460.000 no total para 21 vulnerabilidades.
Mobile Pwn2Own 2015
A equipe tirou um ano de folga para determinar a melhor forma de processar os envios, em conformidade com o Acordo de Wassanaar.
Pwn2Own 2015
O nível de dificuldade aumentou significativamente no concurso de 2015, já que o prêmio “unicórnio” de 2014 se tornou o padrão para todos os alvos do Windows. Explorações bem-sucedidas necessárias para escapar do Enhanced Mitigation Experience Toolkit (EMET) da Microsoft em todos os alvos do Windows, atingir execução de código em nível de SISTEMA (com um bônus de US$ 25.000) e atingir navegadores de 64 bits com o Enhanced Protected Mode (EPM) habilitado.
Mobile Pwn2Own 2014 (Tóquio, Japão)
Nosso maior evento mobile até agora, onde sete celulares foram alvos de sete equipes diferentes. Todos foram explorados com sucesso.
Pwn2Own 2014
Dois dias recordes de pagamentos aproximaram o Pwn2Own de sua primeira competição de um milhão de dólares, premiando 8 participantes com US$ 850.000, com US$ 385.000 em prêmios não reivindicados. O concurso Pwn4Fun entre o Google e a Trend ZDI arrecadou US$ 82.500 para caridade, enquanto o grande prêmio Exploit Unicorn de US$ 150.000 — criado para desafiar os melhores pesquisadores — não foi reivindicado.
Mobile Pwn2Own 2013 (Tóquio, Japão)
O concurso foi levado à Ásia pela primeira vez, e o escopo foi expandido para incluir ataques baseados em Bluetooth, WiFi e USB. Os prêmios variaram de US$ 50.000 a US$ 100.000, totalizando US$ 300.000. Concorrentes do Japão e da China se juntaram aos participantes dos EUA pela primeira vez, com ganhos totais chegando a US$ 117.500.
Pwn2Own 2013
Expandiu o foco além das vulnerabilidades no navegador da web para incluir plug-ins. O prêmio total foi de US$ 560.000, com prêmios individuais variando de US$ 20.000 a US$ 100.000. Os concorrentes ganharam US$ 320.000.
Mobile Pwn2Own 2012 (Amsterdã, Holanda)
Realizado na Europa pela primeira vez, o concurso introduziu novas regras focadas apenas em dispositivos móveis, oferecendo prêmios que variam de US$ 30.000 a US$ 100.000 (para um ataque de banda base celular). Dois grupos de pesquisadores competiram com sucesso, ganhando um total de US$ 60.000.
Pwn2Own 2012
A competição adotou um formato de captura da bandeira com um sistema de pontos para exploits direcionados às versões mais recentes do IE, Firefox, Safari e Chrome. Prêmios de US$ 60.000, US$ 30.000 e US$ 15.000 foram concedidos ao primeiro, segundo e terceiro lugares, respectivamente.
Pwn2Own 2011
O Google entrou como copatrocinador apenas do Chrome com um prêmio total de US$ 125.000. Categorias não relacionadas ao Chrome foram oferecidas por US$ 15.000 cada. Os concorrentes reivindicaram US$ 60.000 no total, mas ninguém tentou explorar o Chrome.
Pwn2Own 2010
Os concorrentes ganharam um total de US$ 45.000, com US$ 10.000 concedidos para cada alvo da web e US$ 15.000 para cada alvo móvel.
Pwn2Own 2008-09
O escopo do concurso Pwn2Own foi expandido para incluir uma gama maior de sistemas operacionais e navegadores. A Trend ZDI realizou o concurso e concordou em comprar todas as vulnerabilidades demonstradas com sucesso, concedendo prêmios que variam de US$ 5.000 a US$ 20.000 por vulnerabilidade. Os concorrentes ganharam US$ 15.000 em 2008 e US$ 20.000 em 2009.
Pwn2Own 2007
Iniciado pelo fundador da CanSecWest, Dragos Ruiu, o concurso inaugural destacou a insegurança do sistema operacional Mac OS X da Apple. Na época, havia uma crença popular de que o OS X era muito mais seguro que seus concorrentes. Inicialmente, apenas os laptops foram oferecidos como prêmios. Entretanto, no primeiro dia da conferência, a Trend ZDI foi convidada a participar e se ofereceu para comprar quaisquer vulnerabilidades usadas no concurso por um preço fixo de US$ 10.000.