Organizado pelo Zero Day Initiative (ZDI), o maior programa independente de recompensas de bugs do mundo, a premiação Pwn2Own Miami 2022 concedeu valores em um total de US$ 400 mil aos participantes. Este valor – o equivalente a mais de R$ 1,9 milhões hoje (25) – foi distribuído a hackers “white hat” (chapéu branco, remetendo a “hackers do bem”), por 26 explorações exclusivas de sistemas de controle industrial (ICS).

Ao longo de três dias de competição (19 a 21 de abril), 11 participantes fizeram 32 tentativas de demonstrar suas explorações de ICS contra produtos da Unified Automation, Iconics, Induction Automation, Prosys, Aveva, Triangle MicroWorks, OPC Foundation, Kepware e Softing. O evento se concentrou em demonstrar explorações para sistemas ICS pertencentes às seguintes categorias: Servidor de Controle, Servidor de Arquitetura Unificada OPC (OPC UA), Gateway de Dados e Interface Homem-Máquina (HMI).

Os participantes white hat demonstraram um total de 26 explorações únicas de dia zero (e várias colisões de bug). Com sucesso, os hackers do bem demonstraram as explorações de ICS usando problemas já conhecidos.

Cada tentativa de “colisão de bug” recebeu um pagamento de US$ 5 mil, enquanto execuções remotas de código receberam US$ 20 mil em média – respectivamente, R$ 24,3 mil e R$ 97,4 mil. O pagamento por exploits DoS (negação de serviço) ICS também foi de US$ 5 mil.

Vencedores premiados com mais de R$ 438 mil

Os vencedores da premiação Pwn2Own Miami 2022 foram Daan Keuper e Thijs Alkemade, da divisão Sector 7, da holandesa Computest. Eles conquistaram o título de Master of Pwn depois de serem premiados ao todo com US$ 90 mil (acima de R$ 438 mil em valores atualizados) durante os três dias do evento e obterem o primeiro lugar na tabela de classificação com um total de 90 pontos.

Depois que as vulnerabilidades de segurança exploradas durante o Pwn2Own são relatadas, os fornecedores têm 120 dias para liberar os patches. A partir de então, o ZDI pode divulgar tais informações publicamente.