Zeroday Cloud Umumkan Kompetisi Hacking dengan Hadiah Total $4,5 Juta
Kompetisi keamanan siber baru bertajuk Zeroday Cloud resmi diumumkan, menawarkan total hadiah sebesar $4,5 juta untuk para peneliti yang berhasil menemukan dan mendemonstrasikan eksploitasi pada berbagai target terkait cloud dan AI open-source.
Ajang ini diselenggarakan oleh Wiz Research — divisi riset keamanan cloud dari perusahaan Wiz, bekerja sama dengan Google Cloud, AWS, dan Microsoft. Kompetisi akan digelar pada 10–11 Desember 2025 di ajang Black Hat Europe di London, Inggris.
💰 Hadiah dan Kategori Kompetisi
Zeroday Cloud menghadirkan enam kategori utama, dengan hadiah mulai dari $10.000 hingga $300.000 untuk setiap kerentanan yang berhasil dieksploitasi secara penuh.
| Kategori | Target & Hadiah |
|---|---|
| AI | Ollama ($25K), VLLM ($25K), Nvidia Container Toolkit ($40K) |
| Kubernetes & Cloud-Native | Kubernetes API Server ($80K), Kubelet Server ($40K), Grafana ($10K auth RCE / $40K pre-auth RCE), Prometheus ($40K), Fluent Bit ($10K) |
| Containers & Virtualization | Docker ($40K user-provided / $60K arbitrary), Containerd ($40K / $60K), Linux Kernel (container escape on Ubuntu $30K) |
| Web Servers | NGINX ($300K), Apache Tomcat ($100K), Envoy ($50K), Caddy ($50K) |
| Databases | Redis ($25K auth RCE / $100K pre-auth RCE), PostgreSQL ($20K / $100K), MariaDB ($20K / $100K) |
| DevOps & Automation | Apache Airflow ($40K), Jenkins ($40K), GitLab CE ($40K) |
Untuk memenangkan hadiah, peserta harus menunjukkan kompromi penuh (full compromise) terhadap target — seperti container/VM escape pada kategori virtualisasi, atau zero-click Remote Code Execution (RCE) untuk kategori lainnya.
⚙️ Mekanisme dan Aturan Kompetisi
Peserta wajib mendaftar melalui HackerOne sebelum 20 November 2025, menyelesaikan verifikasi identitas dan dokumen pajak.
Setiap peneliti atau tim (maksimal 5 orang) dapat mengirimkan eksploit untuk banyak target, tetapi hanya satu entri per target yang diperbolehkan.
Eksploit yang disetujui akan didemonstrasikan secara langsung selama acara berlangsung, dengan penyelenggara menyediakan lingkungan Docker container default untuk pengujian eksploit.
Negara dan wilayah yang terkena embargo atau sanksi — termasuk Rusia, Tiongkok, Iran, Korea Utara, Kuba, Sudan, Suriah, Libya, Lebanon, serta Crimea dan Donetsk — tidak diizinkan berpartisipasi.
🧠 Kontroversi: Mirip dengan Pwn2Own?
Pengumuman Zeroday Cloud sempat memicu kontroversi setelah Trend Micro, penyelenggara kompetisi Pwn2Own, menuduh Wiz menyalin sebagian besar aturan resmi Pwn2Own Ireland.
Juan Pablo Castro, Direktur Strategi & Teknologi Keamanan Siber di Trend Micro, menyebut hasil perbandingan aturan kedua acara tersebut melalui Google Gemini menunjukkan kesamaan “word-for-word.”
Menanggapi tudingan tersebut, Wiz menyampaikan pernyataan diplomatis:
“Kami memang terinspirasi oleh framework kompetisi Pwn2Own yang sudah matang dan dipercaya. Kami menghormati upaya mereka dan berharap Zeroday Cloud dapat memperluas ruang eksplorasi bagi komunitas keamanan global.”
🌐 Kesimpulan
Zeroday Cloud menjadi kompetisi keamanan siber besar terbaru dengan fokus unik pada cloud-native, DevOps, database, dan AI stack open-source — area yang semakin penting dalam infrastruktur modern.
Dengan hadiah hingga $300.000 per temuan, acara ini bukan hanya ajang bergengsi bagi peneliti keamanan, tetapi juga strategi kolaboratif raksasa cloud seperti Google, AWS, dan Microsoft untuk memperkuat ekosistem mereka dari ancaman zero-day baru.
Sumber: BleepingComputer
