--- title: "Festival de Zero-Days: Hackers faturam meio milhão de dólares no primeiro dia do Pwn2Own Irlanda" author: "Gabriela P. Torres" date: "2025-10-22 09:51:00-03" category: "Segurança & Privacidade" url: "http://desbugados.scale.press/portal/desbugados/post/2025/10/22/festival-de-zero-days-hackers-faturam-meio-milhao-de-dolares-no-primeiro-dia-do-pwn2own-irlanda/md" --- # Festival de Zero-Days: Meio Milhão de Dólares em 24 Horas A lógica é simples: se um dispositivo está conectado à internet, então ele é um alvo em potencial. No primeiro dia do **Pwn2Own Ireland 2025**, realizado em Cork, na Irlanda, essa premissa foi testada e comprovada 34 vezes. Pesquisadores de segurança de todo o mundo exploraram 34 vulnerabilidades únicas, conhecidas como 'zero-days', faturando um total de US$ 522.500 em prêmios. O evento, organizado pela Zero Day Initiative (ZDI) da Trend Micro, serve como um campo de batalha ético onde falhas são expostas em um ambiente controlado, para o bem de todos nós. ## O Show de US$ 100.000: A Oito Passos da Invasão O destaque absoluto do dia foi protagonizado pela **Team DDOS**. Os pesquisadores Bongeun Koo e Evangelos Daravigkas executaram uma proeza técnica que parece saída de um roteiro de filme. Eles encadearam nada menos que oito falhas zero-day para, primeiro, comprometer um roteador QNAP Qhora-322 a partir da interface WAN — a porta de entrada da internet para a rede. Se isso já não fosse impressionante, então a segunda parte do ataque certamente é: a partir do roteador, eles pivotaram e obtiveram acesso a um dispositivo de armazenamento em rede (NAS) QNAP TS-453E. A recompensa por essa demonstração de habilidade forense? Um prêmio de US$ 100.000 e o segundo lugar provisório no pódio de 'Master of Pwn' com 8 pontos. ## A Lista de Compras dos Hackers: De Impressoras a Lâmpadas A Team DDOS não foi a única a sair com os bolsos cheios. A competição revelou que muitos dispositivos comuns em residências e escritórios são mais frágeis do que seus fabricantes gostariam de admitir. Diversas equipes faturaram prêmios robustos de US$ 40.000 cada por obterem acesso 'root' — o nível mais alto de privilégio — em uma variedade de produtos: A **Synacktiv Team** comprometeu o Synology BeeStation Plus.Sina Kheirkhah, da **Summoning Team**, invadiu o Synology DiskStation DS925+.A **DEVCORE Team** demonstrou uma falha no QNAP TS-453E.Stephen Fewer, da **Rapid7**, explorou uma vulnerabilidade no Home Assistant Green.Até mesmo a humilde impressora de escritório não escapou. A multifuncional Canon imageCLASS MF654Cdw foi hackeada quatro vezes por equipes diferentes, incluindo STARLabs e Team ANHTUD. No campo da casa inteligente, a STARLabs também invadiu a caixa de som Sonos Era 300, levando US$ 50.000, enquanto a Team ANHTUD explorou a Phillips Hue Bridge, garantindo mais US$ 40.000. ## A Corrida pelo Título de 'Master of Pwn' Embora a façanha da Team DDOS tenha roubado a cena, a matemática da competição colocou outra equipe no topo. A **Summoning Team**, com Sina Kheirkhah e McCaulay Hudson, também teve um dia produtivo. Eles utilizaram uma cadeia de dois zero-days para obter acesso root em um Synology ActiveProtect Appliance DP320, ganhando US$ 50.000. Somando todos os seus feitos, a Summoning Team encerrou o primeiro dia na liderança do ranking 'Master of Pwn', com um total de US$ 102.500 em prêmios e 11,5 pontos. A disputa pelo título está, portanto, aberta. ## O Jogo é Justo: 90 Dias Para Corrigir a Casa O Pwn2Own não é apenas sobre o dinheiro ou o prestígio. Ele opera sob um princípio fundamental: a divulgação responsável. Conforme as regras da ZDI, se uma equipe demonstra uma exploração bem-sucedida, então o fornecedor do produto afetado é notificado imediatamente. A partir daí, a empresa tem um prazo de 90 dias para desenvolver e liberar uma correção de segurança. Somente após esse período, ou caso a correção seja liberada antes, é que a ZDI torna públicos os detalhes técnicos da falha. Esse processo garante que os 'mocinhos' encontrem as brechas antes dos 'bandidos'. O evento deste ano conta com o patrocínio de empresas como Meta, QNAP e Synology, que claramente veem valor em ter seus produtos postos à prova. Com mais dias de competição pela frente, os pesquisadores ainda mirarão em categorias como smartphones — incluindo o Samsung Galaxy S25 — e equipamentos de vigilância. A ZDI também elevou a aposta este ano, oferecendo um prêmio de US$ 1 milhão para quem conseguir uma exploração 'zero-click' do WhatsApp. A mensagem é clara: no mundo digital, a segurança não é um estado permanente, mas um processo contínuo de verificação e correção.