Come è iniziato tutto
Più di una semplice competizione, Pwn2Own è un terreno di prova per l'innovazione e un potente promemoria dell'alta posta in gioco quando si tratta di sicurezza. Espone le vulnerabilità nei dispositivi e nei software comunemente utilizzati, fungendo da importante riferimento per i progressi nella cybersecurity rispetto all'evento dell'anno precedente.
Sin dalla sua fondazione alla conferenza sulla sicurezza CanSecWest del 2007 a Vancouver, in Canada, Pwn2Own è cresciuto significativamente e ora ospita 3 eventi all'anno.
L'evoluzione di Pwn2Own: raccogliere le ricompense
Pwn2Own è cresciuto da un piccolo concorso con premi da 10.000 dollari al contest di hacking più prestigioso al mondo, assegnando oltre 1 milione di dollari per ciascun evento. Le sue regole in evoluzione rispecchiano il mutevole panorama delle minacce, estendendosi a browser, sistemi operativi, server e, dal 2019, automobili. Questa visibilità ha permesso alla Zero Day Initiative™ (ZDI) di Trend di interagire con i migliori ricercatori di tutto il mondo.
Il processo di divulgazione di Pwn2Own è uno dei migliori forum per fornitori e ricercatori per poter collaborare direttamente, discutendo le vulnerabilità in tempo reale. Questa visibilità ci ha permesso di interagire con i migliori ricercatori in tutto il mondo.
Pwn2Own 2025
Autunno 2025
Sono in arrivo eventi entusiasmanti
Stiamo riunendo le idee e lavorando a qualcosa di grande. Resta sintonizzato e torna a trovarci per non perdere tutti i dettagli!
Maggio 2025
Pwn2Own Berlin
Pwn2Own a maggio arriva a Berlino, in Germania, con nuove sfide per i migliori ricercatori di sicurezza del mondo. Quest'anno, stiamo introducendo una categoria di AI, che va oltre la prompt injection fino all'esecuzione completa del codice sui framework AI. Anche la categoria Tesla torna, con i ricercatori che si rivolgono ai più recenti sistemi di veicoli, tra cui il Modello 3 e il Modello Y 2025. Con oltre 1.000.000 di dollari in premi e categorie che coprono browser web, sicurezza del cloud, applicazioni aziendali e altro ancora, la competizione continua a evolversi con il panorama della sicurezza.
Gennaio 2025
Uno sguardo al Pwn2Own Automotive 2025
Hai sentito parlare della sfida più importante per la cybersecurity nel settore automobilistico al Pwn2Own Automotive 2025? Ha riunito i migliori talenti per mostrare le loro competenze ai leader del settore, promuovendo al contempo l'innovazione per rendere i veicoli più sicuri per tutti. L'evento è stato una vetrina per contributi innovativi e per vincere premi in denaro, trofei e riconoscimenti a livello mondiale. Abbiamo assegnato 886.250 dollari per 49 zero-day uniche, compresa la ricerca sugli EV charger che non erano mai stati stati oggetto di dimostrazione pubblica prima d'ora. Sina Kheirkhah ha vinto Master of Pwn con un totale di 222.250 dollari.
Il quadro completo: Pwn2Own nel corso degli anni dal suo lancio nel 2007
Pwn2Own Automotive 2025
L’evento si è tenuto dal 22 al 24 gennaio a Tokyo e ha riunito alcuni dei migliori ricercatori al mondo per testare i componenti automobilistici più recenti. Tra i partner chiave figurano i giganti dell'innovazione VicOne e Tesla.
Pwn2Own Ireland 2024
L’evento del 2024, tenutosi presso gli uffici di Trend Micro a Cork, in Irlanda, ha introdotto nuove categorie, tra cui la categoria WhatsApp sponsorizzata da Meta, che ha offerto potenziali guadagni fino a 300.000 dollari. Inoltre, i dispositivi AI-enabled sono stati presentati per la prima volta, coprendo smartphone, sistemi NAS e telecamere con funzionalità AI. Nel corso di 4 giorni, abbiamo assegnato oltre 1 milione di dollari per oltre 70 vulnerabilità zero-day e abbiamo incoronato Viettel Cyber Security come Master of Pwn.
Pwn2Own Vancouver 2024
Pwn2Own è tornato alla conferenza CanSecWest a Vancouver, in Canada, per evidenziare gli exploit più recenti nei server e nelle applicazioni aziendali. In totale, abbiamo assegnato 1.132.500 dollari per 29 zero-day. Manfred Paul è stato incoronato Master of Pwn. Ha vinto 202.500 dollari e 25 punti in totale utilizzando tutti e quattro i browser durante la competizione (Chrome, Edge, Safari e Firefox). Questo evento ha anche introdotto Docker come obiettivo e il team di STAR Labs SG ha combinato due bug per eseguire la loro container escape. Valentina Palmiotti ha sfruttato un bug di Improper Update of Reference Count per l’escalation dei privilegi su Windows 11. In seguito è stata premiata con il riconoscimento "Best Privilege Escalation" ai Pwnie Awards 2024. Altri punti salienti sono stati gli exploit di Oracle VirtualBox e le escalation dei privilegi su tutti i principali sistemi operativi.
Pwn2Own Automotive 2024
L'inaugurazione di Pwn2Own Automotive è stata trasmessa in diretta da Tokyo alla conferenza Automotive World. Il riscontro ha superato le nostre aspettative, con oltre 45 voci in tutte le categorie. Abbiamo assegnato 1.323.750 dollari durante l'evento e abbiamo scoperto 49 zero-day uniche.
Pwn2Own Toronto 2023
L'edizione consumer di Pwn2Own è tornata negli uffici Trend di Toronto, con target come telefoni cellulari, sistemi di sorveglianza e configurazioni per piccoli uffici. L'evento ha attirato un'attenzione significativa, con i fornitori che hanno effettuato push di sicurezza all'ultimo minuto e i ricercatori che hanno dimostrato exploit ad alto impatto. Synacktiv ha mostrato un exploit zero-click sulla fotocamera Wyze, mentre un attacco riuscito su Xiaomi 13 Pro ha portato Xiaomi a disattivare parti della sua rete globale. In totale, 1.038.500 USD sono stati assegnati per 58 zero-day con il Team Viettel che ha ottenuto il titolo di Master of Pwn con 180.000 USD e 30 punti.
Pwn2Own Vancouver 2023
In CanSecWest, Pwn2Own ha rivelato 27 zero-day e ha assegnato 1.035.000 dollari e un Tesla Model 3. Gli exploit Tesla hanno preso di mira il gateway e più sottosistemi, ottenendo root access. Anche SharePoint e macOS su M2 sono stati compromessi, con vulnerabilità Windows di ampia portata scoperte. Synacktiv ha vinto il Master of Pwn con 530.000 dollari, 53 punti e la Tesla Model 3.
Pwn2Own Miami 2023
Il contest ICS/SCADA è tornato alla conferenza S4 a Miami Beach, Florida, rivelando 27 zero-day su 10 prodotti da 16 iscrizioni. Per la prima volta, l'intelligenza artificiale ha giocato un ruolo, con Claroty che utilizza ChatGPT in una catena a sei exploit che ha preso di mira Softing Secure Integration Server. I premi hanno totalizzato 153.500 dollari e il Team 82 per Claroty ha rivendicato il Master of Pwn con 98.500 dollari.
Pwn2Own Toronto 2022
Il primo Toronto Pwn2Own, ospitato presso gli uffici di Trend Micro, è diventato il più grande evento della storia, con 66 candidature di 36 team con un target di 13 prodotti. I premi hanno totalizzato 989.750 dollari per 63 zero-day. Tra i punti salienti figurano la categoria SOHO Smashup, gli exploit di Samsung Galaxy S22 e una stampante Lexmark che diventa jukebox. DEVCORE ha vinto il Master of Pwn con 142.500 dollari.
Pwn2Own Vancouver 2022
Il 15° anniversario di Pwn2Own a Vancouver ha assegnato 1.155.000 dollari per 25 zero-day. Il primo giorno ha stabilito un record di 800.000 dollari, compresi gli exploit di Microsoft Teams. Il secondo giorno ha visto gli attacchi informatici di Tesla, mentre il terzo giorno ha visto le escalation dei privilegi di Windows 11. STAR Labs ha ottenuto il titolo di Master of Pwn con 270.000 dollari e 27 punti.
Pwn2Own Miami 2022
La seconda edizione di Pwn2Own Miami, Florida, si è svolta dal 19 al 21 aprile 2022 al Fillmore di South Beach, Miami. Nel corso dei tre giorni di contest, i concorrenti hanno vinto 400.000 dollari per 26 zero-day. Il team di Daan Keuper e Thijs Alkemade di Computest Sector 7 ha ricevuto il Master of Pwn, ottenendo 90.000 dollari. Daan Keuper e Thijs Alkemade hanno presentato uno dei punti salienti del concorso, aggirando il controllo delle applicazioni affidabili sullo standard OPC Foundation OPC UA .NET.
Pwn2Own Austin 2021
Con continue restrizioni di viaggio, la versione consumer di Pwn2Own si è tenuta presso la sede centrale di Trend ZDI ad Austin, Texas. Questo evento ha attirato grande attenzione da parte della comunità di ricerca e si è rivelato essere il più grande evento nella storia di Pwn2Own, con 58 iscrizioni diverse da oltre 22 team diversi che hanno preso di mira 13 prodotti diversi. In definitiva, abbiamo assegnato 1.081.250 USD per 61 vulnerabilità zero-day uniche, il secondo payout più grande nella storia di Pwn2Own. Un momento straordinario è stato un exploit che ha trasformato una stampante HP in un jukebox, riproducendo Thunderstruck di AC/DC attraverso il suo altoparlante interno.
Pwn2Own Vancouver 2021 (From Austin with Love)
Dal 6 all'8 aprile 2021, il contest Pwn2Own si è tenuto ad Austin, Texas, e virtualmente. Quest'anno è stata introdotta la categoria Enterprise Communications, con Microsoft Teams e Zoom Messenger. Il primo giorno, Apple Safari, Microsoft Exchange, Microsoft Teams, Windows 10 e Ubuntu sono stati tutti compromessi. Zoom Messenger è sceso a un exploit zero-click il secondo giorno, con Parallels Desktop, Google Chrome e Microsoft Edge sfruttati con successo. Il contest ha assegnato oltre 1.200.000 dollari per 23 zero-day. Il titolo Master of Pwn è stato condiviso a pari merito tra il Team DEVCORE, OV e Daan Keuper e Thijs Alkemade.
Pwn2Own Tokyo (dal vivo da Toronto) 2020
Con il lockdown dovuto al COVID-19, la conferenza PacSec si è nuovamente tenuta virtualmente. L'evento è stato trasmesso in diretta su Twitch e YouTube, mentre interviste e video più vecchi hanno riempito gli intervalli tra un tentativo e l'altro. Questo contest ha anche visto come obiettivo l'inclusione di server SAN (Storage Area Network). Il concorso ha assegnato 136.500 dollari per 23 bug unici. Pedro Ribeiro e Radek Domanski hanno ottenuto il titolo di Master of Pwn con due exploit SAN di successo.
Pwn2Own Vancouver 2020
A causa del COVID-19, l'evento si è tenuto virtualmente, consentendo ai ricercatori di inviare i propri exploit in anticipo. I ricercatori di Trend ZDI hanno eseguito gli exploit da casa, registrando sia lo schermo che una chiamata Zoom con i concorrenti. Nell'arco di 2 giorni, 6 dimostrazioni di successo hanno ricevuto 270.000 dollari, con 13 bug unici in Adobe Reader, Apple Safari e macOS, Microsoft Windows e Oracle VirtualBox. In particolare, il ricercatore di Trend ZDI Lucas Leong ha presentato un bug Oracle VirtualBox senza patch. Amat Cama e Richard Zhu hanno ottenuto il titolo di Master of Pwn con una vincita di 90.000 dollari.
Pwn2Own Miami 2020
Ospitato alla conferenza S4, il primo Pwn2Own di Miami si è concentrato sui sistemi di controllo industriale (ICS). I ricercatori hanno preso di mira diverse categorie, tra cui server di controllo, server OPC Unified Architecture (OPC UA), gateway DNP3, interfacce uomo-macchina (HMI) e Engineering Workstation Software (EWS). 8 gruppi concorrenti hanno sfruttato con successo almeno un obiettivo in ogni categoria. Sono stati assegnati oltre 280.000 dollari in contanti e premi, con oltre due dozzine di vulnerabilità zero-day acquistate. Steven Seeley e Chris Anastasio si sono aggiudicati il titolo di Master of Pwn con 80.000 dollari di vincita.
Pwn2Own Tokyo 2019
Facebook è stato incluso, portando il suo sistema Oculus Quest VR al contest. Abbiamo anche ampliato il concorso per includere più dispositivi IoT, come smart speakers, televisori e router wireless. Nel complesso, abbiamo assegnato oltre 315.000 dollari in totale nel corso dei due giorni di concorso, acquistando 18 diversi bug nei vari prodotti. Con 195.000 dollari e 18,5 punti, il duo Fluoroacetate di Richard Zhu e Amat Cama ha mantenuto il titolo di Master of Pwn per il terzo di seguito.
Pwn2Own Vancouver 2019
In collaborazione con noi, Tesla ha messo in palio una Model 3 per il contest, offrendo 6 punti focali per la ricerca. Questa aggiunta si affianca alle categorie tradizionali come browser web, software di virtualizzazione, applicazioni aziendali e Windows RDP. Nell'arco di tre giorni, Trend ZDI ha assegnato 545.000 dollari per 19 vulnerabilità uniche. Amat Cama e Richard Zhu hanno rivendicato il titolo di Master of Pwn, guadagnando 375.000 dollari e la Model 3.
Pwn2Own Tokyo 2018
Abbiamo aggiunto obiettivi IoT alla competizione e l'abbiamo rinominato da Mobile Pwn2Own a Pwn2Own Tokyo. Sebbene nel contest siano stati inclusi smart speaker, webcam e smart watch, nessuno di questi dispositivi è stato preso di mira. Il concorso ha assegnato 325.000 dollari in totale acquistando 18 report di bug zero-day Con un punteggio di 45 punti e 215.000 dollari, Amat Cama e Richard Zhu hanno ottenuto il titolo di Master of Pwn.
Pwn2Own 2018
Trend ZDI ha collaborato con Microsoft dando il benvenuto a VMware come sponsor per 5 categorie di obiettivi: virtualizzazione, browser web, applicazioni aziendali, server e una categoria speciale: Windows Insider Preview Challenge. La partecipazione delle squadre sponsorizzate dalle aziende è diminuita, poiché le squadre cinesi non sono più state autorizzate a partecipare. Il concorso ha assegnato 267.000 dollari per una dozzina di exploit zero-day e ha incoronato Richard Zhu (fluorescence) come Master of Pwn.
Mobile Pwn2Own 2017 (Tokyo, Giappone)
Come nostro più grande contest mobile di sempre, abbiamo acquistato un totale di 32 microspie uniche durante la competizione e i concorrenti hanno guadagnato 515.000 dollari in premi. Tencent Keen Security Lab è stato proclamato Master of Pwn con 44 punti. Questa è stata la prima gara in cui il ritiro da un tentativo ha comportato punti negativi per il Master of Pwn.
Pwn2Own 2017
Il decimo anniversario del concorso è stato il più impegnativo di sempre, poiché Trend ZDI ha speso 833.000 dollari per l'acquisizione di 51 diversi bug zero-day. L'elevato numero di candidature ha reso necessarie due sessioni nel secondo giorno per accogliere tutte le iscrizioni. Questo concorso ha visto anche due elevazioni di guest-to-host OS in VMware. Il team di 360 Security ha vinto Master of Pwn con 63 punti totali. Quest'anno i team hanno presentato i bug prima del concorso, nel tentativo strategico di eliminare le vulnerabilità dei loro concorrenti.
Mobile Pwn2Own 2016 (Tokyo, Giappone)
Il concorso è tornato a Tokyo con iPhone 6s, Google Nexus 6p e Galaxy S7 come obiettivi. Tutti sono stati sfruttati e il contest ha assegnato 375.000 dollari in totale. Il Tencent Keen Security Lab Team ha ottenuto il titolo di Master of Pwn con un totale di 210.000 dollari e 45 punti.
Pwn2Own 2016
Quest'anno abbiamo visto l'introduzione del Master of Pwn, il titolo del vincitore assoluto di Pwn2Own. Poiché l'ordine del concorso è deciso da un'estrazione casuale, i concorrenti con un'estrazione sfortunata potrebbero presentare un'ottima ricerca, ma ricevere meno denaro poiché i round successivi diminuiscono di valore. Tuttavia, i punti assegnati per ogni ingresso riuscito non diminuiscono. Qualcuno potrebbe avere un sorteggio sfortunato ma accumulare comunque il maggior numero di punti. Il team del Tencent Security Team Sniper ha rivendicato il primo titolo Master of Pwn con 38 punti. Nel complesso, il concorso ha assegnato 460.000 dollari in totale per 21 vulnerabilità.
Mobile Pwn2Own 2015
Il team si è preso un anno di pausa per determinare il modo migliore per elaborare le presentazioni, rispettando al contempo il Wassanaar Arrangement.
Pwn2Own 2015
Il livello di difficoltà è aumentato significativamente al contest del 2015, poiché il premio "unicorno" del 2014 è diventato lo standard per tutti gli obiettivi Windows. Gli exploit di successo necessari per eludere l'Enhanced Mitigation Experience Toolkit (EMET) di Microsoft su tutti gli obiettivi di Windows, ottenere l'esecuzione del codice a livello di SISTEMA (con un bonus di 25.000 dollari) e puntare ai browser a 64 bit con la modalità protetta avanzata (EPM) abilitata.
Mobile Pwn2Own 2014 (Tokyo, Giappone)
Il nostro più grande evento mobile di sempre, in cui sette telefoni sono stati presi di mira da sette diversi team. Tutti sono stati sfruttati con successo.
Pwn2Own 2014
2 giorni di pagamenti da record hanno portato Pwn2Own vicino alla sua prima competizione da un milione di dollari, assegnando 850.000 dollari a 8 partecipanti, con 385.000 dollari di premi non reclamati. Il concorso Pwn4Fun tra Google e Trend ZDI ha raccolto 82.500 dollari in beneficenza, mentre il gran premio Exploit Unicorn da 150.000 dollari, creato per sfidare i migliori ricercatori, non è stato reclamato.
Mobile Pwn2Own 2013 (Tokyo, Giappone)
Il concorso è stato portato in Asia per la prima volta e l'ambito è stato ampliato per includere attacchi Bluetooth, WiFi e basati su USB. I premi variavano da 50.000 a 100.000 dollari, per un totale di 300.000 dollari. Concorrenti provenienti da Giappone e Cina si sono uniti ai partecipanti statunitensi per la prima volta, con vittorie totali che hanno raggiunto i 117.500 dollari.
Pwn2Own 2013
Ha ampliato l'attenzione oltre le vulnerabilità nel browser web per includere i plug-in. Il pool di premi era di 560.000 dollari, con premi individuali da 20.000 a 100.000 dollari. I concorrenti hanno vinto 320.000 dollari.
Mobile Pwn2Own 2012 (Amsterdam, Paesi Bassi)
Tenutosi in Europa per la prima volta, il contest ha introdotto nuove regole incentrate esclusivamente sui dispositivi mobili, offrendo premi da 30.000 a 100.000 dollari (per un attacco cellular base-band). 2 gruppi di ricercatori hanno gareggiato con successo, vincendo un totale di 60.000 dollari.
Pwn2Own 2012
Il concorso ha adottato un format capture-the-flag con un sistema a punti per gli exploit che prendono di mira le ultime versioni di IE, Firefox, Safari e Chrome. Premi di 60.000, 30.000 e 15.000 dollari sono stati assegnati rispettivamente al primo, secondo e terzo posto.
Pwn2Own 2011
Google è entrata come co-sponsor solo per Chrome con un pool di premi di 125.000 dollari. Le categorie non Chrome offrivano 15.000 dollari ciascuna. I concorrenti hanno reclamato complessivamente 60.000 dollari, ma nessuno ha tentato di sfruttare Chrome.
Pwn2Own 2010
I concorrenti hanno guadagnato un totale di 45.000 dollari, con 10.000 dollari assegnati per ciascun obiettivo web e 15.000 dollari per ciascun obiettivo mobile.
Pwn2Own 2008-09
L'ambito del concorso Pwn2Own è stato ampliato per includere una gamma più ampia di sistemi operativi e browser. Trend ZDI ha gestito il concorso e ha accettato di acquistare tutte le vulnerabilità dimostrate con successo, assegnando premi da 5.000 a 20.000 dollari per ciscuna vulnerabilità. I concorrenti hanno vinto 15.000 dollari nel 2008 e 20.000 dollari nel 2009.
Pwn2Own 2007
Lanciato dal fondatore di CanSecWest Dragos Ruiu, il concorso inaugurale ha messo in evidenza le carenze di sicurezza del sistema operativo Mac OS X di Apple. All'epoca, c'era la convinzione popolare che OS X fosse molto più sicuro dei suoi concorrenti. Inizialmente, solo i laptop venivano offerti come premi. Tuttavia, il primo giorno della conferenza, è stato chiesto a Trend ZDI di partecipare e si è offerto di acquistare qualsiasi vulnerabilità utilizzata nel concorso per un prezzo forfettario di 10.000 dollari USA.