由 CanSecWest Applied Security Conference 安全会议主办的「Pwn2Own」是一场专为骇客或是「资安研究员」举行的挑战竞赛活动,参与这场活动的骇客团队们必须彼此较劲,比赛哪队能够最先从各家知名企业旗下的软体中找出最多从未被任何人发现的「漏洞」和错误。值得一提的是,今年这场为期三天的比赛活动还受到了微软、Zoom 等多间大型企业的赞助,而他们都为参赛者们提供了相当丰富的奖金,藉此鼓励他们能从旗下软体找出错误。
在今年举行於温哥华的第 15 届 Pwn2Own 比赛活动上,参赛者们光是在第一天就陆陆续续从浏览器 Firefox、甲骨文的 VirtualBox、微软作业系统 Windows 11 和会议软体 Microsoft Teams 等多款企业软体中发现了共计 16 个「Zero-Day」bug 和漏洞,并且已经成功抱回了超过 80 万美元的奖金。
这就如同一场专为骇客举办的大型电竞比赛活动,而目标就是找出存在於知名软体中的漏洞和 Bug,但已知的错误则不算数。而所谓的「Zero-Day」就是一种软体开发团队本身并没有注意到的漏洞或脆弱点,同时也很有可能会遭到一些有心人士滥用,针对软体进行攻击、入侵或勒索等行为,甚至有可能导致严重的损失。因此,对於软体发行商来说,如果能提前发现这些漏洞当然是一件再欢迎不过的事。
以目前来说,已经有 8 支参赛队伍都各自获得了至少 4 万美元以上的奖金,其中一支名为 STAR Labs 的队伍则以 23 万美元的奖金以及 23 点 Master of Pwn 积分领先所有队伍,他们成功发现了数个出现在微软同讯软体 Microsoft Teams 中的漏洞,并藉此从微软手中获得了庞大的奖金。
到了第二天,参赛的团体们则开始将钻研的目标从软体转向了汽车。身为赞助厂商之一的特斯拉也为此提供了总计高达 100 万美元的奖金,以及 Telsa Model 3 和 Model S 车款等奖品,藉此鼓励这群试图骇入特斯拉旗下电动车,或从中找出漏洞的参赛者们。只要成功发现存在於 Tesla Model 3 车款资讯系统中的「Zero-Day」漏洞,那参赛的骇客团队就有机会获得最高 60 万美元的奖金以及一台电动车。值得一提的是,特斯拉车款在不久之前就曾经因为资讯系统 CPU 导致的过热问题而紧急召回了 13 万辆车。
最後,当这场为期三天的比赛正式告一段落後,所有参与这场活动的厂商都将会在那之後的 90 天内陆续修正骇客团队在比赛过程中所发现的每一个漏洞与错误。此外,Pwn2own 和 Zero Day Initiative 都会在官方推特上分享最即时的动态更新。
