Pwn2Own Automotive 2026 Hadiahi Peneliti Keamanan Lebih dari USD 1 Juta untuk 76 Zero-Day

Ajang Pwn2Own Automotive 2026 resmi berakhir dengan capaian besar di dunia keamanan siber otomotif. Selama tiga hari penyelenggaraan, para peneliti keamanan berhasil memperoleh total hadiah sebesar USD 1.047.000 setelah mengeksploitasi 76 kerentanan zero-day pada berbagai teknologi otomotif modern.

Kompetisi ini berlangsung pada 21 hingga 23 Januari di Tokyo, Jepang, bertepatan dengan pameran Automotive World. Fokus utama Pwn2Own Automotive adalah menguji ketahanan sistem otomotif terhadap serangan dunia nyata, dengan target mencakup sistem infotainment kendaraan, pengisi daya kendaraan listrik, hingga sistem operasi mobil yang telah diperbarui ke versi terbaru.

Sepanjang kompetisi, para peserta berhasil menembus sistem in-vehicle infotainment, stasiun pengisian daya EV, serta platform sistem operasi otomotif seperti Automotive Grade Linux. Seluruh perangkat yang menjadi sasaran diuji dalam kondisi fully patched, menegaskan bahwa masih terdapat celah kritis meskipun pembaruan keamanan telah diterapkan.

Sesuai aturan Pwn2Own, seluruh kerentanan yang dieksploitasi akan dirahasiakan sementara. Vendor terkait diberikan waktu 90 hari untuk mengembangkan dan merilis perbaikan sebelum detail teknis zero-day tersebut dipublikasikan secara terbuka oleh Zero Day Initiative milik Trend Micro.

Dalam klasemen akhir, tim Fuzzware.io keluar sebagai juara Pwn2Own Automotive 2026 dengan total hadiah USD 215.000. Posisi berikutnya ditempati oleh Team DDOS yang membawa pulang USD 100.750, disusul Synacktiv dengan total hadiah USD 85.000.

Fuzzware.io mencatatkan performa konsisten sepanjang kompetisi. Pada hari pertama, tim ini meraih USD 118.000 setelah berhasil mengeksploitasi stasiun pengisian daya Alpitronic HYC50, charger Autel, serta sistem navigasi Kenwood DNR1007XR. Hari kedua, mereka kembali memperoleh USD 95.000 dengan mendemonstrasikan beberapa zero-day pada pengontrol pengisian Phoenix Contact CHARX SEC-3150, ChargePoint Home Flex EV charger, dan Grizzl-E Smart 40A EV charging station. Tambahan USD 2.500 diraih pada hari terakhir akibat terjadinya bug collision saat mencoba melakukan root pada sistem multimedia Alpine iLX-F511.

Synacktiv juga mencatat pencapaian penting dengan memperoleh USD 35.000 setelah berhasil meretas sistem infotainment Tesla. Serangan tersebut dilakukan melalui kombinasi celah out-of-bounds write dan kebocoran informasi, yang dieksekusi menggunakan media USB pada hari pertama kompetisi.

Capaian Pwn2Own Automotive 2026 menegaskan meningkatnya kompleksitas dan risiko keamanan pada ekosistem otomotif modern. Jika dibandingkan dengan tahun-tahun sebelumnya, jumlah hadiah dan zero-day yang ditemukan menunjukkan tren konsisten. Pada Pwn2Own Automotive 2024, peneliti keamanan mengumpulkan total USD 1.323.750 dari 49 zero-day, termasuk keberhasilan meretas kendaraan Tesla sebanyak dua kali. Sementara itu, pada edisi 2025, total hadiah mencapai USD 886.250 dengan jumlah zero-day yang sama.

Hasil tahun 2026 ini kembali menyoroti pentingnya pengujian keamanan berkelanjutan pada kendaraan dan infrastruktur pendukungnya, terutama di tengah percepatan adopsi kendaraan listrik dan sistem kendaraan terhubung. Bagi industri otomotif, Pwn2Own menjadi pengingat bahwa keamanan siber kini merupakan komponen krusial dalam pengembangan teknologi kendaraan masa depan.