No segundo dia do Pwn2Own Automotive 2026, pesquisadores de segurança receberam um total de US$ 439.250 em prêmios após explorarem 29 vulnerabilidades zero-day exclusivas.
O Pwn2Own Automotive, realizado esta semana em Tóquio, Japão, de 21 a 23 de janeiro, durante a conferência Automotive World, tem foco em tecnologias automotivas.
Os participantes testam sistemas automotivos protegidos, como carregadores de veículos elétricos (EV), sistemas de infotainment veicular (IVI) e sistemas operacionais automotivos, como o Automotive Grade Linux.
Até o momento, a equipe Fuzzware.io lidera o ranking do concurso, acumulando US$ 213.000 nos dois primeiros dias.
Eles também conquistaram mais US$ 95.000 ao explorarem vulnerabilidades em dispositivos como o controlador de carregamento Phoenix Contact CHARX SEC-3150, o carregador ChargePoint Home Flex e a estação de recarga Grizzl-E Smart 40A.
Sina Kheirkhah, do Summoning Team, ganhou US$ 40.000 adicionais ao comprometer o receptor de navegação Kenwood DNR1007XR, o ChargePoint Home Flex e o receptor multimídia Alpine iLX-F511.
Rob Blakely, do Technical Debt Collectors, e Hank Chen, do InnoEdge Labs, receberam US$ 40.000 cada ao demonstrarem cadeias de exploits zero-day contra o Automotive Grade Linux e o carregador Alpitronic HYC50.
Após dois dias de competição, o total acumulado em prêmios ultrapassa US$ 955.750, referentes à exploração de 66 vulnerabilidades zero-day.
No terceiro dia do Pwn2Own Automotive, a equipe Slow Horses, da Qrious Secure, e o time PetoWorks voltarão a focar na estação Grizzl-E Smart 40A.
Enquanto isso, a equipe Juurin Oy mira no carregador Alpitronic HYC50, e Ryo Kato tentará explorar vulnerabilidades no Autel MaxiCharger.
No primeiro dia, a equipe Synacktiv garantiu US$ 35.000 ao encadear uma fuga de informações com uma vulnerabilidade de escrita fora dos limites para obter acesso root no sistema de infotainment da Tesla via ataque USB.
Além disso, recebeu mais US$ 20.000 ao explorarem três falhas zero-day que permitiram a execução de código com privilégios root no receptor digital Sony XAV-9500ES.
O cronograma completo do segundo dia, assim como os resultados detalhados de cada desafio, estão disponíveis no site oficial do evento, onde também é possível consultar a programação integral do Pwn2Own Automotive 2026.
Na edição do ano passado, os hackers receberam US$ 886.250 após explorarem 49 vulnerabilidades zero-day.
Em 2024, durante o Pwn2Own Automotive, o valor acumulado ultrapassou US$ 1.323.750, com a demonstração de 49 bugs zero-day e dois ataques bem-sucedidos a um veículo Tesla.
Os fabricantes têm prazo de 90 dias para desenvolver e liberar patches para as vulnerabilidades zero-day exploradas e reportadas durante o Pwn2Own, antes que a Zero Day Initiative, da Trend Micro, faça a divulgação pública desses exploits.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...