Festival de Zero-Days: Meio Milhão de Dólares em 24 Horas

A lógica é simples: se um dispositivo está conectado à internet, então ele é um alvo em potencial. No primeiro dia do Pwn2Own Ireland 2025, realizado em Cork, na Irlanda, essa premissa foi testada e comprovada 34 vezes. Pesquisadores de segurança de todo o mundo exploraram 34 vulnerabilidades únicas, conhecidas como 'zero-days', faturando um total de US$ 522.500 em prêmios. O evento, organizado pela Zero Day Initiative (ZDI) da Trend Micro, serve como um campo de batalha ético onde falhas são expostas em um ambiente controlado, para o bem de todos nós.

O Show de US$ 100.000: A Oito Passos da Invasão

O destaque absoluto do dia foi protagonizado pela Team DDOS. Os pesquisadores Bongeun Koo e Evangelos Daravigkas executaram uma proeza técnica que parece saída de um roteiro de filme. Eles encadearam nada menos que oito falhas zero-day para, primeiro, comprometer um roteador QNAP Qhora-322 a partir da interface WAN — a porta de entrada da internet para a rede. Se isso já não fosse impressionante, então a segunda parte do ataque certamente é: a partir do roteador, eles pivotaram e obtiveram acesso a um dispositivo de armazenamento em rede (NAS) QNAP TS-453E. A recompensa por essa demonstração de habilidade forense? Um prêmio de US$ 100.000 e o segundo lugar provisório no pódio de 'Master of Pwn' com 8 pontos.

A Lista de Compras dos Hackers: De Impressoras a Lâmpadas

A Team DDOS não foi a única a sair com os bolsos cheios. A competição revelou que muitos dispositivos comuns em residências e escritórios são mais frágeis do que seus fabricantes gostariam de admitir. Diversas equipes faturaram prêmios robustos de US$ 40.000 cada por obterem acesso 'root' — o nível mais alto de privilégio — em uma variedade de produtos:

  • A Synacktiv Team comprometeu o Synology BeeStation Plus.
  • Sina Kheirkhah, da Summoning Team, invadiu o Synology DiskStation DS925+.
  • A DEVCORE Team demonstrou uma falha no QNAP TS-453E.
  • Stephen Fewer, da Rapid7, explorou uma vulnerabilidade no Home Assistant Green.

Até mesmo a humilde impressora de escritório não escapou. A multifuncional Canon imageCLASS MF654Cdw foi hackeada quatro vezes por equipes diferentes, incluindo STARLabs e Team ANHTUD. No campo da casa inteligente, a STARLabs também invadiu a caixa de som Sonos Era 300, levando US$ 50.000, enquanto a Team ANHTUD explorou a Phillips Hue Bridge, garantindo mais US$ 40.000.

A Corrida pelo Título de 'Master of Pwn'

Embora a façanha da Team DDOS tenha roubado a cena, a matemática da competição colocou outra equipe no topo. A Summoning Team, com Sina Kheirkhah e McCaulay Hudson, também teve um dia produtivo. Eles utilizaram uma cadeia de dois zero-days para obter acesso root em um Synology ActiveProtect Appliance DP320, ganhando US$ 50.000. Somando todos os seus feitos, a Summoning Team encerrou o primeiro dia na liderança do ranking 'Master of Pwn', com um total de US$ 102.500 em prêmios e 11,5 pontos. A disputa pelo título está, portanto, aberta.

O Jogo é Justo: 90 Dias Para Corrigir a Casa

O Pwn2Own não é apenas sobre o dinheiro ou o prestígio. Ele opera sob um princípio fundamental: a divulgação responsável. Conforme as regras da ZDI, se uma equipe demonstra uma exploração bem-sucedida, então o fornecedor do produto afetado é notificado imediatamente. A partir daí, a empresa tem um prazo de 90 dias para desenvolver e liberar uma correção de segurança. Somente após esse período, ou caso a correção seja liberada antes, é que a ZDI torna públicos os detalhes técnicos da falha. Esse processo garante que os 'mocinhos' encontrem as brechas antes dos 'bandidos'. O evento deste ano conta com o patrocínio de empresas como Meta, QNAP e Synology, que claramente veem valor em ter seus produtos postos à prova.

Com mais dias de competição pela frente, os pesquisadores ainda mirarão em categorias como smartphones — incluindo o Samsung Galaxy S25 — e equipamentos de vigilância. A ZDI também elevou a aposta este ano, oferecendo um prêmio de US$ 1 milhão para quem conseguir uma exploração 'zero-click' do WhatsApp. A mensagem é clara: no mundo digital, a segurança não é um estado permanente, mas um processo contínuo de verificação e correção.