駭客比賽「Pwn2Own」參賽者們成功發現存在於 Windows 11 和 Microsoft Teams 中的漏洞,並抱回高額獎金

由 CanSecWest Applied Security Conference 安全會議主辦的「Pwn2Own」是一場專為駭客或是「資安研究員」舉行的挑戰競賽活動,參與這場活動的駭客團隊們必須彼此較勁,比賽哪隊能夠最先從各家知名企業旗下的軟體中找出最多從未被任何人發現的「漏洞」和錯誤。值得一提的是,今年這場為期三天的比賽活動還受到了微軟、Zoom 等多間大型企業的贊助,而他們都為參賽者們提供了相當豐富的獎金,藉此鼓勵他們能從旗下軟體找出錯誤。

在今年舉行於溫哥華的第 15 屆 Pwn2Own 比賽活動上,參賽者們光是在第一天就陸陸續續從瀏覽器 Firefox、甲骨文的 VirtualBox、微軟作業系統 Windows 11 和會議軟體 Microsoft Teams 等多款企業軟體中發現了共計 16 個「Zero-Day」bug 和漏洞,並且已經成功抱回了超過 80 萬美元的獎金。

這就如同一場專為駭客舉辦的大型電競比賽活動,而目標就是找出存在於知名軟體中的漏洞和 Bug,但已知的錯誤則不算數。而所謂的「Zero-Day」就是一種軟體開發團隊本身並沒有注意到的漏洞或脆弱點,同時也很有可能會遭到一些有心人士濫用,針對軟體進行攻擊、入侵或勒索等行為,甚至有可能導致嚴重的損失。因此,對於軟體發行商來說,如果能提前發現這些漏洞當然是一件再歡迎不過的事。

以目前來說,已經有 8 支參賽隊伍都各自獲得了至少 4 萬美元以上的獎金,其中一支名為 STAR Labs 的隊伍則以 23 萬美元的獎金以及 23 點 Master of Pwn 積分領先所有隊伍,他們成功發現了數個出現在微軟同訊軟體 Microsoft Teams 中的漏洞,並藉此從微軟手中獲得了龐大的獎金。

到了第二天,參賽的團體們則開始將鑽研的目標從軟體轉向了汽車。身為贊助廠商之一的特斯拉也為此提供了總計高達 100 萬美元的獎金,以及 Telsa Model 3 和 Model S 車款等獎品,藉此鼓勵這群試圖駭入特斯拉旗下電動車,或從中找出漏洞的參賽者們。只要成功發現存在於 Tesla Model 3 車款資訊系統中的「Zero-Day」漏洞,那參賽的駭客團隊就有機會獲得最高 60 萬美元的獎金以及一台電動車。值得一提的是,特斯拉車款在不久之前就曾經因為資訊系統 CPU 導致的過熱問題而緊急召回了 13 萬輛車。

最後,當這場為期三天的比賽正式告一段落後,所有參與這場活動的廠商都將會在那之後的 90 天內陸續修正駭客團隊在比賽過程中所發現的每一個漏洞與錯誤。此外,Pwn2own 和 Zero Day Initiative 都會在官方推特上分享最即時的動態更新。