Как все началось
Pwn2Own — это не просто соревнование. Это стимул для инноваций и напоминание о том, как высоки ставки в сфере безопасности. Оно выявляет уязвимости в популярных устройствах и программах, позволяя оценить достижения в сфере кибербезопасности по сравнению с прошлым годом.
С момента своего основания на конференции по безопасности CanSecWest в 2007 году в канадском Ванкувере соревнование Pwn2Own значительно разрослось, и теперь в год проводится по три мероприятия.
Эволюция Pwn2Own: получение вознаграждений
Из небольшого конкурса с призами по 10 000 долларов США Pwn2Own превратился в самое престижное в мире соревнование хакеров с призовым фондом более 1 млн за мероприятие. Изменения правил отражают меняющийся ландшафт угроз, который охватывает браузеры, операционные системы, серверы и, с 2019 года, автомобили. Это позволило Trend Zero Day Initiative™ (ZDI) привлечь ведущих исследователей со всего мира.
Процесс раскрытия информации в рамках Pwn2Own является одним из лучших форумов для поставщиков и исследователей, где они напрямую сотрудничают, обсуждая уязвимости в реальном времени. Это позволило нам привлечь ведущих исследователей со всего мира.
Pwn2Own 2025
Осень 2025 г.
Приближаются захватывающие события
Мы готовим что-то по-настоящему невероятное. Следите за новостями — вы не захотите это пропустить!
Май 2025 г.
Pwn2Own Берлин
Pwn2Own проводится в Берлине, Германия! Следите за новостями — в ближайшие недели мы расскажем о правилах, месте проведения мероприятия, призовом фонде и других деталях.
В преддверии 17-ой годовщины первого соревнования мы развиваемся, чтобы отразить меняющийся ландшафт исследований кибербезопасности. Наша цель — поддерживать связь со специалистами по взлому и гарантировать, что ведущие исследователи смогут продемонстрировать свои знания о последних достижениях в области безопасности от ведущих поставщиков в отрасли.
Январь 2025 г.
Обзор Pwn2Own Automotive 2025
Вы слышали о главном вызове в сфере автомобильной кибербезопасности на Pwn2Own Automotive 2025? На соревновании собрались лучшие специалисты, готовые продемонстрировать свои навыки лидерам отрасли и помочь внедрить инновации, чтобы сделать автомобили безопаснее. Мероприятие предоставило платформу для новаторских решений и возможность выиграть денежные призы и получить глобальное признание. Мы присудили 886 250 долларов США за 49 уникальных уязвимостей нулевого дня, включая исследования зарядных устройств для электромобилей, которые никогда ранее не демонстрировались публично. Сина Хейрха выиграл титул Master of Pwn и заработал 222 250 долларов США.
Полная картина: история Pwn2Own с 2007 года
Pwn2Own Automotive 2025
Мероприятие прошло с 22 по 24 января в Токио при участии лучших в мире исследователей, которые тестировали новейшие автомобильные компоненты. Ключевыми партнерами стали лидеры инноваций VicOne и Tesla.
Pwn2Own Ирландия 2024
В 2024 году в офисах Trend Micro в Корке, Ирландия, были представлены новые категории, включая спонсируемую Meta категорию WhatsApp с призовым фондом до 300 000 долларов США. Кроме того, впервые были представлены устройства с поддержкой ИИ, включая смартфоны, системы NAS и камеры. За четыре дня мы вручили более миллиона долларов США за более чем 70 уязвимостей нулевого дня и присудили главный титул Master of Pwn команде Viettel Cyber Security.
Pwn2Own Ванкувер 2024
Соревнование Pwn2Own вернулось на конференцию CanSecWest в канадском Ванкувере, чтобы продемонстрировать последние эксплойты в корпоративных серверах и приложениях. В общей сложности мы вручили 1 132 500 долларов США за 29 уникальных уязвимостей нулевого дня. Звание Master of Pwn получил Манфред Пол (Manfred Paul). Он выиграл 202 500 долларов США и 25 баллов за обнаружение в ходе соревнования эксплойтов во всех четырех браузерах (Chrome, Edge, Safari и Firefox). В этот раз одной из мишеней был Docker, и команда из STAR Labs SG воспользовалась двумя ошибками, чтобы реализовать побег из контейнера. Валентина Пальмиотти (Valentina Palmiotti) использовала неправильное обновление количества ссылок для эскалации привилегий в Windows 11. Позже она была удостоена премии «Лучшая эскалация привилегий» на Pwnie Awards 2024. Также были отмечены эксплойты Oracle VirtualBox и эскалация привилегий во всех основных ОС.
Pwn2Own Automotive 2024
Первое соревнование Pwn2Own Automotive в прямом эфире транслировалось из Токио, с конференции Automotive World. Активность участников превзошла ожидания: было подано более 45 заявок во всех категориях. Мы выплатили 1 323 750 долларов США и обнаружили 49 уникальных уязвимостей нулевого дня.
Pwn2Own Торонто 2023
Pwn2Own для потребительской электроники снова прошел в Торонто. Объектами стали мобильные телефоны, системы наблюдения, оборудование для домашнего офиса и т. д. Мероприятие привлекло большое внимание: поставщики поспешили в последний момент установить патчи, а исследователи продемонстрировали опасные эксплойты. Компания Synacktiv продемонстрировала бескликовый эксплойт на камере Wyze, а успешная атака на Xiaomi 13 Pro привела к тому, что Xiaomi пришлось отключить части своей глобальной сети. Общий призовой фонд составил 1 038 500 долларов США за 58 уникальных уязвимостей нулевого дня, при этом команда Viettel завоевала звание Master of Pwn, набрав 180 000 долларов США и 30 баллов.
Pwn2Own Ванкувер 2023
На конференции CanSecWest в ходе Pwn2Own удалось обнаружить 27 уязвимостей нулевого дня, а в качестве вознаграждения участники получили 1 035 000 долларов США и Tesla Model 3. Эксплойты Tesla были нацелены на шлюз и несколько подсистем, к которым удалось получить root-доступ. Кроме того, были скомпрометированы SharePoint и macOS на M2, а также обнаружены обширные уязвимости Windows. Synacktiv получили титул Master of Pwn, завоевав 530 000 долларов США, 53 балла и Tesla Model 3.
Pwn2Own Майами 2023
Соревнование на поиск уязвимостей в ICS/SCADA прошло на конференции S4 в Майами-Бич, штат Флорида. Было обнаружено 27 уязвимостей нулевого дня в 10 из 16 продуктов. Впервые был использован ИИ: команда Claroty с помощью ChatGPT выстроила цепочку из шести эксплойтов для взлома сервера Softing Secure Integration Server. Призовой фонд составил 153 500 долларов США, Team 82 от Claroty 82 получила титул Master of Pwn и 98 500 долларов США.
Pwn2Own Торонто 2022
Первое соревнование Pwn2Own в Торонто, прошедшее в офисах Trend Micro, стало крупнейшим мероприятием в истории: 66 заявок от 36 команд для 13 продуктов. Общая сумма вознаграждений составила 989 750 долларов США за 63 уязвимости нулевого дня. Были обнаружены уязвимости в оборудовании для домашнего офиса, найдены эксплойты в Samsung Galaxy S22, а принтер Lexmark превращен в музыкальный проигрыватель. Команда DEVCORE получила звание Master of Pwn и 142 500 долларов США.
Pwn2Own Ванкувер 2022
В пятнадцатую годовщину на соревновании Pwn2Own в Ванкувере было вручено 1 155 000 долларов США за 25 уязвимостей нулевого дня. В первый день был установлен рекорд: 800 000 долларов США, в том числе за эксплойты Microsoft Teams. Во второй день участники взламывали Tesla Infotainment, а в третий им удалось эскалировать привилегии в Windows 11. Команда STAR Labs получила звание Master of Pwn, заработав 270 000 долларов США и 27 баллов.
Pwn2Own Майами 2022
Второй турнир Pwn2Own в Майами, штат Флорида, проходил с 19 по 21 апреля 2022 года в Филлморе, Саут-Бич. За три дня конкурса участники выиграли 400 000 долларов США за 26 уникальных уязвимостей нулевого дня. Команда Дана Кейпера (Daan Keuper) и Тейса Алкемаде (Thijs Alkemade) из Computest Sector 7 получила звание Master of Pwn, заработав 90 000 долларов США. Дан Кейпер и Тейс Алкемаде продемонстрировали впечатляющие результаты, обойдя проверку доверенных приложений в стандарте OPC Foundation OPC UA .NET Standart.
Pwn2Own Остин 2021
В связи с сохраняющимися ограничениями на поездки соревнование Pwn2Own для потребительской электроники прошло в штаб-квартире Trend ZDI в Остине, штат Техас. Это мероприятие привлекло много внимания со стороны исследовательского сообщества и оказалось крупнейшим для Pwn2Own: 58 отдельных заявок от более чем 22 команд для 13 продуктов. Мы вручили 1 081 250 долларов США за 61 уникальную уязвимость нулевого дня — второй по величине призовой фонд за всю историю Pwn2Own. Гвоздем программы стал принтер HP, который участники с помощью эксплойта заставили исполнить композицию Thunderstruck группы AC/DC через внутренний динамик.
Pwn2Own Ванкувер 2021 (из Остина с любовью)
С 6 по 8 апреля 2021 года в Остине, штат Техас, проходило виртуальное соревнование Pwn2Own. В этом году была представлена категория корпоративных коммуникаций, включающая Microsoft Teams и Zoom. В первый день были найдены уязвимости в Apple Safari, Microsoft Exchange, Microsoft Teams, Windows 10 и Ubuntu. Во второй день участники нашли бескликовый эксплойт для Zoom, а также успешно скомпрометировали Parallels Desktop, Google Chrome и Microsoft Edge. Призовой фонд составил более 1 200 000 долларов США за 23 уникальных уязвимости нулевого дня. Титул Master of Pwn поделили три команды: DEVCORE, OV и Дан Кейпер с Тейсом Алкемаде.
Pwn2Own Токио 2020 (трансляция из Торонто)
В связи с локдауном из-за COVID-19 конференция PacSec снова прошла в виртуальном формате. Мероприятие транслировалось в прямом эфире на Twitch и YouTube, а пробелы между попытками заполняли интервью и старые видео. В этом конкурсе также пытались скомпрометировать серверы сети хранения данных (SAN). За 23 обнаруженных уникальных ошибки участники получили 136 500 долларов США. Педро Рибейро (Pedro Ribeiro) и Радек Домански (Radek Domanski) получили звание Master of Pwn за два успешных эксплойта SAN.
Pwn2Own Ванкувер 2020
В связи с пандемией COVID-19 мероприятие проводилось виртуально, что позволило исследователям заранее представить свои эксплойты. Исследователи Trend ZDI выполнили эксплойты из дома, записав свой экран и звонок в Zoom с участниками. В течение двух дней за шесть успешных демонстраций мы вручили 270 000 долларов США. Было найдено 13 уникальных ошибок в Adobe Reader, Apple Safari и macOS, Microsoft Windows и Oracle VirtualBox. В качестве ключевого момента исследователь Trend ZDI Лукас Леонг (Lucas Leong) продемонстрировал неустраненную уязвимость в Oracle VirtualBox Амат Кама (Amat Cama) и Ричард Чжу (Richard Zhu) получили титул Master of Pwn, выиграв 90 000 долларов США.
Pwn2Own Майами 2020
Первое в истории соревнование Pwn2Own в Майами, проведенное в рамках конференции S4, было посвящено промышленным системам управления (Industrial Control System, ICS). Исследователям было предложено несколько категорий, включая серверы управления, серверы OPC Unified Architecture (OPC UA), шлюзы DNP3, человеко-машинные интерфейсы (HMI) и программное обеспечение для инженерной рабочей станции (EWS). 8 команд успешно применили эксплойты как минимум для одного объекта из каждой категории. Призовой фонд составил более 280 000 долларов США, при этом было обнаружено около 25 уязвимостей нулевого дня. Стивен Сили (Steven Seeley) и Крис Анастасио (Chris Anastasio) получили титул Master of Pwn, выиграв 80 000 долларов США.
Pwn2Own Токио 2019
Facebook предложили для соревнований свою систему виртуальной реальности Oculus Quest. Мы также включили больше устройств IoT, таких как умные колонки, телевизоры и беспроводные маршрутизаторы. Призовой фонд двухдневного соревнования составил более 315 000 долларов США, было обнаружено 18 уязвимостей в разных продуктах. Заработав 195 000 долларов США и 18,5 баллов, дуэт Fluoroacetate (Ричард Чжу и Амат Кама) в третий раз завоевали титул Master of Pwn.
Pwn2Own Ванкувер 2019
В партнерстве с нами Tesla представила на конкурс Model 3, предложив для исследования шесть аспектов. Этот вызов дополнил традиционные категории, такие как веб-браузеры, программное обеспечение для виртуализации, корпоративные приложения и Windows RDP. За три дня Trend ZDI вручили 545 000 долларов США за 19 уникальных уязвимостей. Амат Кама и Ричард Чжу завоевали титул Master of Pwn, выиграв 375 000 долларов США и Model 3.
Pwn2Own Токио 2018
Мы добавили к объектам устройства IoT и переименовали соревнование: теперь оно называется не Mobile Pwn2Own, а Pwn2Own Токио. Хотя участникам были предложены умные колонки, веб-камеры и умные часы, ни одно из этих устройств не стало мишенью. За 18 обнаруженных уязвимостей нулевого дня мы вручили 325 000 долларов США. Амат Кама и Ричард Чжу набрали 45 баллов, заработали 215 000 долларов США и получили звание Master of Pwn.
Pwn2Own 2018
Trend ZDI совместно с Microsoft привлекла VMware в качестве спонсора для пяти категорий целей: виртуализация, веб-браузеры, корпоративные приложения, серверы и специальная категория — Windows Insider Preview Challenge. Участвовало меньше корпоративных команд, поскольку китайские команды больше не могли участвовать. Призовой фонд составил 267 000 долларов США за десяток уязвимостей нулевого дня, а Ричард Чжу (fluorescence) получил титул Master of Pwn.
Mobile Pwn2Own 2017 (Токио, Япония)
В ходе крупнейшего конкурса для мобильных устройств было обнаружено 32 уникальные уязвимости, за которые участники заработали 515 000 долларов США. Команда Tencent Keen Security Lab получила титул Master of Pwn, заработав 44 балла. Это был первый конкурс, в котором отказ от попытки привел к вычитанию очков, набираемых для получения титула Master of Pwn.
Pwn2Own 2017
Десятая годовщина конкурса стала самой масштабной: Trend ZDI вручили 833 000 долларов США за 51 уникальную уязвимость нулевого дня. Из-за большого числа заявок на второй день пришлось разделиться на два потока. Участникам удалось дважды повысить привилегии с гостевого уровня до хоста в VMware. Команда 360 Security получила титул Mater of Pwn, набрав 63 балла. В этом году команды отправили сообщения об ошибках заранее, чтобы стратегически попытаться воспользоваться уязвимостями своих конкурентов.
Mobile Pwn2Own 2016 (Токио, Япония)
На этот раз участники в Токио искали уязвимости в iPhone 6s, Google Nexus 6p и Galaxy S7. Все мишени были скомпрометированы, общий призовой фонд составил 375 000 долларов США. Команда Tencent Keen Security Lab получила титул Master of Pwn, заработав 210 000 долларов США и 45 баллов.
Pwn2Own 2016
С этого года мы присуждаем титул победителя Pwn2Own — Master of Pwn. Поскольку очередность определяется случайной жеребьевкой, участники в конце очереди могут представить отличные исследования, но получить меньше денег, так как стоимость каждого последующего раунда снижается. Однако количество баллов, начисляемых за каждую успешную находку, не снижается. Команда может накопить больше всего баллов даже при неудачной жеребьевке. Команда Tencent Security Team Sniper завоевала первый титул Master of Pwn, набрав 38 баллов. В общей сложности было выплачено 460 000 долларов США за 21 уязвимость.
Mobile Pwn2Own 2015
Команда взяла паузу на год, чтобы определить, как лучше всего обработать заявки в соответствии с Вассенаарскими соглашениями.
Pwn2Own 2015
В этом году уровень сложности значительно повысился, так как приз Unicorn с 2014 года стал стандартом для всех мишеней Windows. Успешные эксплойты должны были обойти Microsoft Enhanced Mitigation Experience Toolkit (EMET) на всех целевых объектах Windows, выполнить код на уровне SYSTEM (с бонусом в размере 25 000 долларов США) и добраться до 64-разрядных браузеров с включенным расширенным защищенным режимом (Enhanced Protected Mode, EPM).
Mobile Pwn2Own 2014 (Токио, Япония)
Наше крупнейшее соревнование для мобильных устройств, в рамках которого семь команд работали над семью моделями телефонов. Все они были успешно скомпрометированы.
Pwn2Own 2014
За два дня соревнований восемь участников Pwn2Own поделили рекордные 850 000 долларов США — почти миллион. Еще 385 000 долларов США не достались никому. В ходе соревнования Pwn4Fun, проведенного Google и Trend ZDI, было собрано 82 500 долларов США на благотворительность, но никто не получил главный приз Exploit Unicorn в размере 150 000 долларров США для лучших исследователей.
Mobile Pwn2Own 2013 (Токио, Япония)
Соревнование впервые было проведено в Азии. Теперь атаки можно осуществлять через Bluetooth, Wi-Fi и USB. Призы составляли от 50 000 до 100 000 долларов США, общий призовой фонд — 300 000 долларов США. Участники из Японии и Китая впервые присоединились к участникам из США, общая сумма выигрышей составила 117 500 долларов.
Pwn2Own 2013
Уязвимости теперь можно искать не только в браузере, но и в расширениях. Призовой фонд составил 560 000 долларов США, а отдельные призы — от 20 000 до 100 000 долларов США. Участники выиграли 320 000 долларов США.
Mobile Pwn2Own 2012 (Амстердам, Нидерланды)
Соревнование впервые было проведено в Европе, с новыми правилами только для мобильных устройств и призами от 30 000 до 100 000 долларов США (за атаку на частотах сотовой связи). Две группы исследователей в соперничестве друг с другом выиграли в общей сложности 60 000 долларов США.
Pwn2Own 2012
Соревнование проводилось в формате захвата флага. Участники получали баллы за эксплойты, нацеленные на последние версии IE, Firefox, Safari и Chrome. Команды, занявшие первое, второе и третье места получили призы в размере 60 000, 30 000 и 15 000 долларов США соответственно.
Pwn2Own 2011
Google выступил в качестве спонсора-партнера для Chrome с призовым фондом 125 000 долларов США. За категории, не относящиеся к Chrome, участники могли получить по 15 000 долларов. В целом участники получили 60 000 долларов США, но никто не предпринял попытку эксплойта Chrome.
Pwn2Own 2010
Участники заработали в общей сложности 45 000 долларов США: по 10 000 присуждалось за веб-объекты и по 15 000 — за мобильные объекты.
Pwn2Own 2008–2009
Участникам Pwn2Own предложен более широкий спектр операционных систем и браузеров. Trend ZDI запустила соревнования, в рамках которых будет платить за все успешно продемонстрированные уязвимости, вручая призы от 5000 до 20 000 долларов США за одну уязвимость. Участники выиграли 15 000 долларов в 2008 году и 20 000 — в 2009 году.
Pwn2Own 2007
Первый конкурс, инициированный основателем CanSecWest Драгосом Рую (Dragos Ruiu), продемонстрировал уязвимости в операционной системе Apple Mac OS X. В то время многие считали, что OS X намного безопаснее конкурентов. Изначально в качестве призов предлагались только ноутбуки. Однако в первый день конференции к участию привлекли Trend ZDI, и компания предложила выкупать каждую использованную в ходе соревнования уязвимость по фиксированной цене 10 000 долларов США.