Concurso de hackers da Zeroday Cloud oferece US$ 4,5 milhões em recompensas – Against Invaders – Notícias de CyberSecurity para humanos.

Picus BAS Summit

Uma nova competição de hackers chamada Zeroday Cloud, focada em nuvem de código aberto e ferramentas de IA, anunciou um prêmio total de US$ 4,5 milhões em recompensas por bugs para pesquisadores que enviarem exploits para vários alvos.

O concurso é lançado pelo braço de pesquisa da empresa de segurança em nuvem Wiz em parceria com Google Cloud, AWS e Microsoft, e está programado para 10 e 11 de dezembro na conferência Black Hat Europe em Londres, Reino Unido.

Nuvem Zeroday tem seis categorias separadas das quais os pesquisadores podem participar, com recompensas por bugs entre US$ 10.000 e US$ 300.000:

  • IA – Ollama (US$ 25 mil), Vllm (US$ 25 mil), Nvidia Container Toolkit (US$ 40 mil)
  • Kubernetes e nativo da nuvem – Servidor de API Kubernetes (US$ 80 mil), Servidor Kubelet (US$ 40 mil), Grafana (US$ 10 mil RCE de autenticação, RCE de pré-autenticação de US$ 40 mil), Prometheus (US$ 40 mil), Fluent Bit (US$ 10 mil)
  • Contêineres e virtualização – Docker (imagem fornecida pelo usuário de $ 40, imagem arbitrária de $ 60 mil), Containerd (imagem fornecida pelo usuário de $ 40, imagem arbitrária de $ 60 mil), Linux Kernel (escape de contêiner de $ 30 mil no Ubuntu)
  • Servidores Web – nginx (US$ 300 mil), Apache Tomcat (US$ 100 mil), Envoy (US$ 50 mil), Caddy (US$ 50 mil)
  • Bancos – Redis (US$ 25 mil de autenticação RCE, US$ 100 mil de pré-autenticação RCE), PostgreSQL (US$ 20 mil de autenticação RCE, US$ 100 mil de pré-autenticação RCE), MariaDB (US$ 20 mil de autenticação RCE, US$ 100 mil de pré-autenticação RCE)
  • DevOps e automação – Apache Airflow (US$ 40 mil), Jenkins (US$ 40 mil), GitLab CE (US$ 40 mil)

As regras da competição dizem que as explorações enviadas devem resultar no comprometimento completo do alvo. Wiz explica que isso significa “um Container/VM Escape completo para a categoria Virtualização e uma vulnerabilidade de Execução Remota de Código (RCE) com 0 clique para outros alvos”.

Os organizadores também fornecem o condições para cada alvo, bem como as instruções e recursos técnicos (contêiner do Docker com destino na configuração padrão) que os pesquisadores de segurança podem usar para testar suas explorações.

Os pesquisadores que se registrarem por meio da plataforma HackerOne e preencherem sua verificação de identidade e formulários fiscais até 20 de novembro são livres para enviar exploits para quantos alvos quiserem, mas estão limitados a apenas uma entrada por alvo.

Os remetentes de exploits aprovados serão convidados a demonstrá-los ao vivo durante o evento, sozinhos ou em uma equipe de até cinco membros.

Pessoas que residem em países embargados ou sancionados, como Rússia, China, Irã, Coreia do Norte, Cuba, Sudão, Síria, Líbia, Líbano e também nas regiões da Crimeia e Donetsk, estão impedidas de participar do concurso Zeroday Cloud.

As regras completas para a competição de hackers zeroday.cloudsão disponível aqui.

O anúncio do evento, no entanto, não ressoou bem com os organizadores das competições de hackers Pwn2Own, que vêm ocorrendo com grande sucesso há vários anos.

Em uma postagem pública, a Trend Microchamou Wiz Juan Pablo Castro, Diretor de Estratégia e Tecnologia de Segurança Cibernética da Trend Micro, disse que a saída da Gemini ao comparar as regras para os dois eventos foi uma cópia “palavra por palavra”.

Wiz respondeu com um desarmar instrução, admitindo que o livro de regras Pwn2Own era “uma estrutura madura e confiável pela qual fomos inspirados”.


Picus BAS Summit

O Evento de Validação de Segurança do Ano: O Picus BAS Summit

Junte-se ao Cúpula de Simulação de Violação e Ataque e experimente o Futuro da validação de segurança. Ouça os principais especialistas e veja como BAS alimentado por IA está transformando a simulação de violação e ataque.

Não perca o evento que moldará o futuro da sua estratégia de segurança

azaeo.com – datalake

File fishes formats available in:

TextoJSONJSON-LDXMLHTMLHTML SourcePDFMarkdown

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.