Peretas Kumpulkan $1,024,750 Setelah Eksploitasi 73 Zero-Day di Pwn2Own Ireland 2025
Kompetisi keamanan siber Pwn2Own Ireland 2025 resmi berakhir dengan para peneliti keamanan berhasil mengeksploitasi 73 kerentanan zero-day dan mengantongi total hadiah sebesar $1.024.750 USD.
Acara yang berlangsung di Cork, Irlandia dari 21–23 Oktober ini menargetkan delapan kategori produk, mencakup:
- Printer dan perangkat penyimpanan jaringan (NAS),
- Aplikasi perpesanan,
- Perangkat rumah pintar dan sistem pengawasan,
- Router dan perangkat jaringan rumah,
- Smartphone flagship (Apple iPhone 16, Samsung Galaxy S25, Google Pixel 9),
- Hingga perangkat wearable seperti Meta Ray-Ban Smart Glasses dan Quest 3/3S.
Tahun ini, bidang uji diperluas ke eksploitasi port USB di perangkat mobile, memaksa peserta membobol ponsel dalam kondisi terkunci melalui koneksi fisik. Protokol nirkabel klasik seperti Bluetooth, Wi-Fi, dan NFC juga tetap menjadi jalur serangan yang valid.
Kompetisi ini disponsori oleh Meta, QNAP, dan Synology, serta diselenggarakan oleh Trend Micro’s Zero Day Initiative (ZDI).
🏆 Hasil Akhir Pwn2Own Ireland 2025
Tim Summoning Team keluar sebagai juara umum dengan 22 Master of Pwn points dan hadiah $187.500 USD, setelah sukses menembus:
- Samsung Galaxy S25,
- Synology DiskStation DS925+,
- Home Assistant Green,
- Synology ActiveProtect DP320,
- Synology CC400W Camera, dan
- QNAP TS-453E NAS.
Tim ANHTUD menempati posisi kedua dengan $76.750 dan 11,5 poin, sedangkan Tim Synactiv di posisi ketiga dengan $90.000 dan 11 poin Master of Pwn.
💥 Rincian Eksploitasi Harian
- Hari Pertama: 34 zero-day berhasil dieksploitasi, total hadiah $522.500
- Hari Kedua: 22 zero-day tambahan, total hadiah $267.500
- Hari Ketiga: sorotan utama adalah Samsung Galaxy S25 diretas oleh Interrupt Labs, yang memicu bug improper input validation dan memungkinkan akses kamera serta pelacakan lokasi — menghasilkan 5 poin dan $50.000.
Menariknya, Team Z3 yang dijadwalkan mendemokan eksploitasi WhatsApp zero-click RCE senilai $1 juta, memutuskan mundur, memilih melaporkan temuannya secara pribadi ke ZDI dan Meta.
🔐 Tujuan Pwn2Own
Pwn2Own diadakan untuk menemukan dan melaporkan kerentanan sebelum dimanfaatkan oleh penjahat siber.
Vendor yang produknya terkena eksploit diberi waktu 90 hari untuk menambal bug sebelum ZDI mempublikasikan detailnya secara terbuka.
ZDI akan kembali hadir pada Januari 2026 di Automotive World, Tokyo, untuk edisi ketiga Pwn2Own Automotive, dengan Tesla kembali menjadi sponsor utama.
📊 Rangkuman Hadiah & Fakta Utama
| Keterangan | Detail |
|---|---|
| 🧑💻 Total zero-day ditemukan | 73 |
| 💵 Total hadiah | $1,024,750 USD |
| 🥇 Juara | Summoning Team ($187,500) |
| 📱 Target utama | iPhone 16, Galaxy S25, Pixel 9 |
| 🔌 Vektor baru | USB exploitation (perangkat terkunci) |
| 📅 Lokasi & waktu | Cork, Irlandia — 21–23 Oktober 2025 |
