Código HTML do Conteúdo
Post: Concurso de hackers da Zeroday Cloud oferece US$ 4,5 milhões em recompensas - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div>
<p>Uma nova competição de hackers chamada Zeroday Cloud, focada em nuvem de código aberto e ferramentas de IA, anunciou um prêmio total de US$ 4,5 milhões em recompensas por bugs para pesquisadores que enviarem exploits para vários alvos.</p>
<p>O concurso é lançado pelo braço de pesquisa da empresa de segurança em nuvem Wiz em parceria com Google Cloud, AWS e Microsoft, e está programado para 10 e 11 de dezembro na conferência Black Hat Europe em Londres, Reino Unido.</p>
<p><a href="http://www.zeroday.cloud/" rel="nofollow noopener" target="_blank">Nuvem Zeroday</a> tem seis categorias separadas das quais os pesquisadores podem participar, com recompensas por bugs entre US$ 10.000 e US$ 300.000:</p>
<ul>
<li><strong>IA </strong>– Ollama (US$ 25 mil), Vllm (US$ 25 mil), Nvidia Container Toolkit (US$ 40 mil)</li>
<li><strong>Kubernetes e nativo da nuvem</strong> – Servidor de API Kubernetes (US$ 80 mil), Servidor Kubelet (US$ 40 mil), Grafana (US$ 10 mil RCE de autenticação, RCE de pré-autenticação de US$ 40 mil), Prometheus (US$ 40 mil), Fluent Bit (US$ 10 mil)</li>
<li><strong>Contêineres e virtualização</strong> – Docker (imagem fornecida pelo usuário de $ 40, imagem arbitrária de $ 60 mil), Containerd (imagem fornecida pelo usuário de $ 40, imagem arbitrária de $ 60 mil), Linux Kernel (escape de contêiner de $ 30 mil no Ubuntu)</li>
<li><strong>Servidores Web</strong> – nginx (US$ 300 mil), Apache Tomcat (US$ 100 mil), Envoy (US$ 50 mil), Caddy (US$ 50 mil)</li>
<li><strong>Bancos </strong>– Redis (US$ 25 mil de autenticação RCE, US$ 100 mil de pré-autenticação RCE), PostgreSQL (US$ 20 mil de autenticação RCE, US$ 100 mil de pré-autenticação RCE), MariaDB (US$ 20 mil de autenticação RCE, US$ 100 mil de pré-autenticação RCE)</li>
<li><strong>DevOps e automação</strong> – Apache Airflow (US$ 40 mil), Jenkins (US$ 40 mil), GitLab CE (US$ 40 mil)</li>
</ul>
<p>As regras da competição dizem que as explorações enviadas devem resultar no comprometimento completo do alvo. Wiz explica que isso significa “um Container/VM Escape completo para a categoria Virtualização e uma vulnerabilidade de Execução Remota de Código (RCE) com 0 clique para outros alvos”.</p>
<p>Os organizadores também fornecem o <a href="https://github.com/wiz-sec-public/zeroday-cloud-2025" rel="nofollow noopener" target="_blank">condições para cada alvo</a>, bem como as instruções e recursos técnicos (contêiner do Docker com destino na configuração padrão) que os pesquisadores de segurança podem usar para testar suas explorações.</p>
<p>Os pesquisadores que se registrarem por meio da plataforma HackerOne e preencherem sua verificação de identidade e formulários fiscais até 20 de novembro são livres para enviar exploits para quantos alvos quiserem, mas estão limitados a apenas uma entrada por alvo.</p>
<p>Os remetentes de exploits aprovados serão convidados a demonstrá-los ao vivo durante o evento, sozinhos ou em uma equipe de até cinco membros.</p>
<p>Pessoas que residem em países embargados ou sancionados, como Rússia, China, Irã, Coreia do Norte, Cuba, Sudão, Síria, Líbia, Líbano e também nas regiões da Crimeia e Donetsk, estão impedidas de participar do concurso Zeroday Cloud.</p>
<p>As regras completas para a competição de hackers zeroday.cloudsão <a href="https://www.zeroday.cloud/rules" rel="nofollow noopener" target="_blank">disponível aqui</a>.</p>
<p>O anúncio do evento, no entanto, não ressoou bem com os organizadores das competições de hackers Pwn2Own, que vêm ocorrendo com grande sucesso há vários anos.</p>
<p>Em uma postagem pública, a Trend Micro<a href="https://www.linkedin.com/posts/trend-micro_zeroday-cloud-cloud-security-hacking-competition-activity-7379280371676479488-q3bB?utm_source=share&utm_medium=member_desktop&rcm=ACoAAAq9GN8BFZwqjlHinmMEs4Drc4jOYzu2adM" rel="nofollow noopener" target="_blank">chamou Wiz</a> Juan Pablo Castro, Diretor de Estratégia e Tecnologia de Segurança Cibernética da Trend Micro, disse que a saída da Gemini ao comparar as regras para os dois eventos foi uma cópia “palavra por palavra”.</p>
<p>Wiz respondeu com um <a href="https://www.linkedin.com/feed/update/urn:li:activity:7378846266895790080?commentUrn=urn%3Ali%3Acomment%3A%28activity%3A7378846266895790080%2C7379330526891085824%29&replyUrn=urn%3Ali%3Acomment%3A%28activity%3A7378846266895790080%2C7379865041333841920%29&dashCommentUrn=urn%3Ali%3Afsd_comment%3A%287379330526891085824%2Curn%3Ali%3Aactivity%3A7378846266895790080%29&dashReplyUrn=urn%3Ali%3Afsd_comment%3A%287379865041333841920%2Curn%3Ali%3Aactivity%3A7378846266895790080%29" rel="nofollow noopener" target="_blank">desarmar instrução</a>, admitindo que o livro de regras Pwn2Own era “uma estrutura madura e confiável pela qual fomos inspirados”.</p>
<div>
<p><a href="https://hubs.li/Q03LvVKm0" rel="noopener sponsored" target="_blank"><br />
<img decoding="async" alt="Picus BAS Summit" src="https://datalake.azaeo.com/wp-content/uploads/2025/10/bas-summit.jpg"><br />
</a>
</p>
<div>
<h2><a href="https://hubs.li/Q03LvVKm0" rel="noopener sponsored" target="_blank">O Evento de Validação de Segurança do Ano: O Picus BAS Summit </a></h2>
<p>Junte-se ao <strong>Cúpula de Simulação de Violação e Ataque</strong> e experimente o <strong>Futuro da validação de segurança</strong>. Ouça os principais especialistas e veja como <strong>BAS alimentado por IA</strong> está transformando a simulação de violação e ataque.</p>
<p>Não perca o evento que moldará o futuro da sua estratégia de segurança</p>
</div>
</div>
</div></div>