Pago de hasta un millón de dólares por un exploit de WhatsApp

Iniciado por AXCESS, Agosto 02, 2025, 03:06:49 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Agosto 02, 2025, 03:06:49 PM


La Iniciativa Día Cero (Zero Day Initiative) ofrece una recompensa de un millón de dólares a investigadores de seguridad que demuestren un exploit de WhatsApp sin necesidad de hacer clic en su próximo concurso de hacking Pwn2Own Irlanda 2025.

La recompensa récord se centra en las vulnerabilidades de seguridad sin necesidad de hacer clic que permiten la ejecución de código sin interacción del usuario en la plataforma de mensajería utilizada por más de tres mil millones de personas en todo el mundo.

Meta, junto con Synology y QNAP, copatrocina el concurso Pwn2Own Irlanda 2025, que se celebrará del 21 al 24 de octubre en Cork, Irlanda.

"Como habrán adivinado por el título, nos complace anunciar que Meta copatrocina el evento de este año y esperan ver excelentes exploits de WhatsApp. Están tan emocionados que estamos ofreciendo un millón de dólares por un fallo de WhatsApp sin necesidad de hacer clic que provoque la ejecución de código", anunció la Iniciativa Día Cero el jueves.

También tendremos premios en efectivo menores por otros exploits de WhatsApp, así que no olviden consultar la sección de Mensajería para obtener más detalles. Introdujimos esta categoría el año pasado, pero nadie la intentó. Quizás un número con dos comas les dé la motivación necesaria.

Premios WhatsApp Pwn2Own


El concurso incluye ocho categorías dirigidas a teléfonos móviles, aplicaciones de mensajería, equipos de redes domésticas, dispositivos inteligentes para el hogar, impresoras, sistemas de almacenamiento en red, equipos de vigilancia y tecnología wearable, incluyendo las gafas inteligentes Ray-Ban y los auriculares Quest 3/3S de Meta, así como los smartphones insignia Samsung Galaxy S25, Google Pixel 9 y Apple iPhone 16.

El ZDI también ha ampliado los vectores de ataque para la categoría móvil, incluyendo la explotación de puertos USB en dispositivos móviles, lo que requiere que los concursantes vulneren teléfonos bloqueados mediante conexiones físicas. Los protocolos inalámbricos tradicionales, como Wi-Fi, Bluetooth y la comunicación de campo cercano (NFC), siguen siendo métodos de ataque válidos.

El plazo de inscripción finaliza el 16 de octubre a las 17:00 h (hora estándar de Irlanda). El orden del concurso se determinará mediante un sorteo. La Iniciativa Día Cero gestiona el evento para identificar vulnerabilidades antes de que actores maliciosos puedan explotarlas, coordinando la divulgación responsable con los proveedores afectados.

Tras la explotación de las vulnerabilidades durante los eventos Pwn2Own, los proveedores tienen 90 días para publicar actualizaciones de seguridad antes de que la Iniciativa Día Cero de Trend Micro las divulgue públicamente.

El evento Pwn2Own Irlanda del año pasado otorgó 1.078.750 dólares por más de 70 vulnerabilidades de día cero únicas, y Viettel Cyber Security recaudó 205.000 dólares por las vulnerabilidades detectadas en NAS de QNAP, altavoces Sonos e impresoras Lexmark.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Agosto 02, 2025, 03:08:25 PM #1
Comentario:

""Como habrán adivinado por el título, nos complace anunciar que Meta copatrocina el evento de este año y esperan ver excelentes exploits de WhatsApp. Están tan emocionados que estamos ofreciendo un millón de dólares por un fallo de WhatsApp sin necesidad de hacer clic que provoque la ejecución de código", anunció la Iniciativa Día Cero el jueves.

También tendremos premios en efectivo menores por otros exploits de WhatsApp, así que no olviden consultar la sección de Mensajería para obtener más detalles. Introdujimos esta categoría el año pasado, pero nadie la intentó. Quizás un número con dos comas les dé la motivación necesaria."

No es que nadie lo haya intentado, es que un exploit de ese tipo, las agencias o compañías dedicadas al espionaje pagan el triple o lo que le pidan.

Y están viendo que los exploits por vulnerabilidades de día cero existen en la práctica.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario