Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Hackers weten VMware-hosts te infecteren tijdens wedstrijd

Beveiligingsonderzoekers hebben tijdens een wedstrijd een lek gevonden in VMware waarmee het mogelijk was om uit de virtuele machine te ontsnappen. Daarmee wonnen de hackers 180.000 euro. Ook werden lekken gevonden in browsers, routers en Office.

Het lek werd specifiek gevonden in VMware ESXi. Dat is virtualisatiesoftware voor servers. Details over het lek zijn nog niet bekendgemaakt. De makers van VMware zeiden na de wedstrijd dat het bedrijf zo snel mogelijk met een patch komt. Tot die tijd blijft de aard van het lek geheim. Het lek werd ontdekt door Xiao Wei van de whitehat-hackergroep 360Vulcan, die meedeed aan de Tianfu Cup. Dat is een Chinese hackingwedstrijd die lijkt op bekende competities zoals Pwn2Own. Tijdens de tweedaagse wedstrijd in Chengdu konden hackers bekende soft- en hardware testen op kwetsbaarheden. De organisatoren bevestigen het lek op Twitter.

De kwetsbaarheid in VMware is de ernstigste die tijdens de competitie werd gevonden, maar niet de enige. In totaal werd voor 488.000 euro aan prijzengeld uitgedeeld. Hackers vonden tijdens de wedstrijden ook kwetsbaarheden in Edge die EdgeHTML aanvielen. Daarnaast zijn twee kwetsbaarheden in Chrome gevonden en één in Safari. Ook andere software had kwetsbaarheden, zoals de pdf-lezer van Adobe en Microsofts Office 365.

De wedstrijd ging niet alleen over software. Zo werd de D-Link DIR-878-router opengebroken door vier teams op dezelfde dag. Ook over die lekken zijn nog geen details openbaar gemaakt; eerst zullen er patches voor uitkomen.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

19-11-2019 • 11:33

90 Linkedin

Reacties (90)

Wijzig sortering
180.000 euro klinkt vrij laag voor zo'n kritische lek. Helemaal vergeleken met het totale prijzengeld van 488 miljoen euro. (is dus 488.000 euro).
Lijkt mij dat spionagebedrijven hier veel meer geld voor zullen neerleggen. Volgens mij moet je zulke hackers lonen met veel meer geld, zodat het niet in de verkeerde handen terecht komt.

[Reactie gewijzigd door dbzokphp op 19 november 2019 11:43]

180.000 euro klinkt vrij laag voor zo'n kritische lek.
$200.000 voor een dagje werk met z'n 5en is natuurlijk een leuke binnenkomer. Wellicht dat je meer kan krijgen via minder nette kanalen, maar de kans dat je dan 'wat naars overkomt' wordt dan opeens een heel stuk groter...

Daarnaast is dit 1 lek, deze jongens zitten de rest van het jaar natuurlijk ook niet stil en dit is niet het enige prijzengeld wat ze hebben binnengesleept over de jaren. Dergelijke bedragen geeft hun een hoop vrijheid om te doen wat ze willen.

Vergeet ook niet dat als je tientallen miljoenen zou kunnen verdienen met zo een wedstrijd, dan gaan ook andere elementen zich ermee bemoeien die het leven niet makkelijker maken van een 'whitehat' hacker...
[...]
Vergeet ook niet dat als je tientallen miljoenen zou kunnen verdienen met zo een wedstrijd, dan gaan ook andere elementen zich ermee bemoeien die het leven niet makkelijker maken van een 'whitehat' hacker...
Of dan stoppen ze er gewoon mee en gaan rentenieren :) Want laten we eerlijk zijn, ik twijfel niet aan hun nobele bedoelingen maar er zijn leukere zaken in het leven dan hacken.
Ik lees totale prijzengeld 545.000 dollar: https://twitter.com/TianfuCup/status/1195955592453472256

[Reactie gewijzigd door Mic2000 op 19 november 2019 11:44]

Zoals ik het op die tweet zie is dat het totale prijzen geld uitgekeerd aan alle winnaars. 180.000 euro is het bedrag dat is uitgekeerd aan de vinders van de VMware exploit
Met 180.000 euro kan je een medior security consultant (30.000/maand) 6 maand huren.
175 per uur voor een medior? Pittig tariefje.
6*24*8=1152

180.000 /1152 = 156.25

Nog steeds pittig voor een medium profiel daar niet van, voor 115 per uur (denk ik) kan je mij al hebben en ik ben een senior sysadmin.
Een 'normale' fulltime werkmaand is ongeveer 173,3 uur. (40 uur per week)
https://www.snelverder.nl...eel-werkuur-in-een-maand/

Dus 30.000 / 173,3 = 173,11 per uur.

[Reactie gewijzigd door Navi op 19 november 2019 13:19]

Voor zover ik weet factureren wij altijd consultants aan 8 uur/dag en is dat vrij standaard in België, vandaar de 8.

Maar idd technisch is het 7u38 of zo, daar had je dus gelijk in.
Nee het is gewoon 8 uur per dag, alleen je had het aantal werkdagen in de maand niet juist, dat zijn er geen 24 :) (gemiddeld genomen)

[Reactie gewijzigd door Navi op 19 november 2019 13:25]

"security"-> meerprijs
"consultant" -> meerprijs
Naam en faam uitlenende bedrijf, ook meerprijs

Alles moet betaald worden, en als jij het niet betaald, doet de volgende het wel ;)
En ook dát is een reden om iemand in te huren, zodat 'de andere' die kennis niet kan opdoen
Met 180.000 euro kan je een medior security consultant (30.000/maand) 6 maand huren.
Maar de kans dat die dat lek in die tijd vindt is waarschijnlijk ongeveer nul.
545.000 in totaal inderdaad, waarvan 200.000 dollar voor het ESXi lek
Dat heeft Tweakers geregeld paar weken geleden , je kan dat ook afzetten dacht ik ...wel leuk zo : Space Invaders rulen namelijk 8-)
Random Pixel character. Als het goed is heb ik er ook 1! :D

Edit: JA! Ik heb er ook 1! Scheelt mi jweer zoeken naar een leuke afbeelding om als profielfoto te gebruiken.

[Reactie gewijzigd door Indentical op 19 november 2019 12:21]

of is de default profile pic nu een random pixel character?
Precies dat :)
Reageer even uit benieuwdheid naar mijn pixel :)

edit: Blauw blok. Prima :9

[Reactie gewijzigd door Lavendou op 19 november 2019 12:30]

En in de praktijk zijn het kennelijk voldoende knaken anders hadden ze het dus wel aan criminelen verkocht ;)
In dit geval wel. Maar indien nu een andere hacker een lek vind, weet hij wat voor vergoeding er ongeveer door het bedrijf zal worden gegeven. Dan kan de hacker overwegen om het wel aan criminelen/spionagebedrijven te verkopen.
Maar het risico van het verkopen van zulke dingen is natuurlijk wel dat je banden aangaat met de criminaliteit. Ikzelf zou dat als een gigantisch risico zien, vooral de georganiseerde cybermisdaad is een 'rabbithole' waar ik niet gauw in zou duiken.
Dat is niet per definitie crimineel hoor, er zijn bedrijven genoeg (denk Zerodium, Cellerite, Hacking Team, NSO etc.) die legale "hacksoftware" maken en die ook betalen voor zulke kwetsbaarheden.

Even los van alle discussies over de ethiek achter zulk bedrijven, die betalen in ieder geval veel meer dan 180k.

Hier linkje naar bv Zerodium pricing voor exploits, ook desktop/server exploits gaan voor een fijne 1.000.000,- over de toonbank: https://zerodium.com/program.html

Edit naar aanleiding van post hieronder door @Vallaquenta : VMware escapes zijn inderdaad "maar" 200k ook bij Zerodium. Dus marktconform toch.

[Reactie gewijzigd door Dasprive op 19 november 2019 13:12]

Maar dat zijn natuurlijk wel prijzen voor de OS zelf; hier gaat het over VMWare, en als ik die opzoek op Zerodium is er voor VMWare ESXI VME een bounty van 200.000, dan verdienden de hackers hier toch een klein beetje meer :9

Ik ben echter niet thuis in de hele hackingscene; maar volgens mij zijn alle white bedrijven achter de schermen gewoon gefiancierd door dezelfde bedrijven die deze hackercon's ondersteunen, dus het geld komt (denk ik) uit hetzelfde potje. Dit is namelijk allemaal legaal en boven de tafel, waar de reacties in deze thread over gaan tot dusver is denk ik het black vs white hackers en hoe de verschillen hier zijn.
Vergeet ook het financiele deel qua witwassen niet

Je kan als hacker natuurlijk prima een vette payday maken, door je hack 'onder de toonbank' te verkopen aan de hoogste (darknet) dealer
Maar die knaken moet je uiteindelijk wel weer 'legaal' zien te krijgen.

Het is in de echte wereld vaak nét iets lastiger om je (groot) geld wit te wassen, zonder randverschijnselen
2 ton is niet zo moeilijk hoor. Dat is het geld dat je uitgeeft in de horeca, op vakantie, fysieke winkels, etc
Jij geeft 2 ton uit op een vakantie? Doe maar duur.
En dan over een tijd van een aantal jaren? Dan heb je er nog niet zoveel aan, tegen de tijd dat je het dan allemaal wit hebt ben je het ook al kwijt.
Dat hoef je helemaal niet wit te wassen. In fiscale zin doe je niets illegaals wanneer jij informatie (de kwetsbaarheid) verkoopt aan de hoogste bieder. Als je daar gewoon belasting over betaald is er niets aan de hand.

Stel dat ik cocaine verkoop.. Als jij van mij een kilotje koopt en betaald daar een miljoen voor, en ik neem dat gewoon op in de boeken 'Kilo coke verkocht aan FreshMaker voor 1 miljoen, factuur 12345'. Dan is daar fiscaal gezien niets mis mee. Ik betaal daar vervolgens netjes belasting over, klaar. Hoef ik niets wit te wassen. Fiscaal kan mij men daar niet op pakken.

Het enige probleem in deze situatie is de vraag of het strafrechtelijk mag. Die cocaine is vrij duidelijk natuurlijk. Of je een veiligheidsprobleem in een stuk software mag verkopen weet ik zo even niet. Ik zie in ieder geval zo geen reden waarom je dergelijke informatie alleen aan VMWare zelf zou mogen verkopen.
Alle VM escape methodes gaan daar ook voor max 200K over de toonbank, dus lijkt me marktcomforme prijs, zo ver zoiets bestaat in de hacker wereld 8)7
Hoeveel tijd heeft hij er in gestopt, en wat brengt het hem op? Zou jij ook niet de 180k nemen dan?
Met 180k legaal kan lang en goed genieten. En erna nog bij verdienen. Met 500k illegaal... moet je al vluchten naar het buitenland om er iets mee aan te vangen.
Nou "Lang en goed genieten"?
Trek de belasting eraf, deel het met je hacking team en het is zo "Lang en goed genieten" al niet meer.
Een half miljoen 'illegaal' zal je eerst wit moeten wassen, dat kost geld en tijd (tijd=geld), dus een hoop geld. ;-)

In de tussentijd zijn er criminelen die mogelijk weten dat je een half miljoen ergens heb liggen...

@telenut Als jij opeens een half miljoen aan bitcoin heb zal je dat moeten kunnen verklaren, zo werkt dat in NL in ieder geval. De belastingdienst zal dan ook vast wallets met grote bedragen in de gaten houden en deze koppelen aan transacties via crypto beurzen. Er zijn wel methodes om daar omheen te komen, maar die kosten geld en tijd, dus veel geld.

[Reactie gewijzigd door Cergorach op 19 november 2019 13:15]

Wat 'denk' jij dan te weten ?

Want horeca is iets meer dan een pannetje op het vuur, en een biefstukje op je bordje.

Dat sommige bedrijven meer vragen voor die biefstuk is een stukje aandacht, kennis maar ook aanzien.
( en ja, er zitten bedrijven tussen die het niet waar maken, of zelfs verdienen ... maar die vallen vanzelf door de mand )
Niet iedereen is rot van binnen.
De vraag is hoeveel white hackers zijn er en hoeveel black. In het black gedeelte gaan natuurlijk nog grotere bedragen om, overheden zitten er in.

Als ik dan dit soort berichten lees over kritische lekken dan kun je je de vraag stellen of dit lek misschien al langer gebruikt werd en hoe veilig is alles.
Waarom aan criminelen verkopen als de Chinese staats hackers die kwetsbaarheden goed kunnen gebruiken? ;)
Die 488 miljoen was een foutje, dat was wel erg veel :) Moest 488.000 zijn, heb ik aangepast!
Liever 180.000 via een wedstrijd, dan de rest van je leven over je schouder moeten kijken.
Ik denk dat meer geld persé de oplossing is. Een goed betaalde deeltijdbaan is wellicht veel interessanter. De denkwijze van deze personen, die zo'n hack vinden, is cruciaal om in je eigen bedrijf te kunnen consulteren. Ik zeg bewust deeltijdbaan omdat deze mensen met deze specialiteiten hun creativiteit voortdurend moeten ontwikkelen. Dat gaat weer minder goed als je een voltijdbaan hebt denk ik.

[Reactie gewijzigd door InsanelyHack op 19 november 2019 12:06]

White hat hackers doen dit meer voor hun hobby. Het prijzengeld had net zo goed een beker kunnen zijn + de credits van het vinden van de lek. Zoiets staat immers zeer goed op je cv.

Spionage bedrijven zullen hier misschien goed voor betalen maar dit valt volgens mij onder landverraad (of iets dergelijks).

Ik vind 180.000 euro al een zeer hoog bedrag. Zelf zou ik het fijner vinden dat ze dit geld stoppen in bug fixes. Het is immers maar een wedstrijd en geen betaald opdracht.
180.000 euro !!! Weet jij niet hoeveel dat is? Van dat geld kun jij een huis kopen! :o
Ik zou echt een gat in de lucht springen als ik zo een monsterlijk bedrag zou krijgen voor het vinden van een beveiligingslek in een programma.

[Reactie gewijzigd door markwiering op 19 november 2019 13:57]

Voor 180k koop je weinig huis meer tegenwoordig :)
Tozz! Hallo!

Jaja off topic.
Nou, dat is dus het probleem met ‘lekken’. Je weet niet of het er is, en of dat iemand anders ‘m al eerder heeft gevonden.

Dit soort competities en programma’s zoals HackerOne zijn juist bedoeld om het boven water te krijgen dmv een geldsom.
Ik denk dat zo'n exploit een veelvoud waard zou zijn op 'de markt'. :)

Maar als je om je samenleving geeft dan ga je deze zooi niet op de markt gooien zodat straks Rusland of China de infrastructuur van je land omzeep helpt.
Lijkt mij dat spionagebedrijven hier veel meer geld voor zullen neerleggen. Volgens mij moet je zulke hackers lonen met veel meer geld, zodat het niet in de verkeerde handen terecht komt.
Ik zou persoonlijk niet zomaar mijn handen in "bloed gaan wassen" voor wat geld. (los van de overige potentiele implicaties van handelen met clandestiene partijen, legaal of anderzijds)
Je kan je ook afvragen waar het verhogen van die beloning dan ook ophoud.

Ik ken de praktijk niet van dat bug hunten maar als je er na een weekje maandje of misschien zelfs jaartje werk zo'n dikke bug uit trekt waar je zo'n bedrag mee harkt ben je voorlopig weer gewoon klaar volgens mij. En die gasten hebben ook vast nog wel andere pruttelende pannetjes op staan.

[Reactie gewijzigd door Koffiebarbaar op 19 november 2019 13:40]

Als je als hacker in de spin van de criminelen terecht komt, laten ze je niet meer gaan.
Dan eindig je dood in de goot of in de gevangenis.
Dan is het een stuk veiliger je geld op deze manier te vergaren.
Als je ziet hoeveel lekken er gevonden worden tijdens zo'n wedstrijd, dan zou je toch denken dat er in het dagelijks leven veel meer kwetsbaarheden gevonden worden die mogelijk aan de media aandacht ontsnappen.

In hoeverre zullen dergelijke lekken gemeld worden in een niet-competitie omgeving waarij het mogelijk lastiger is om er op een legale manier geld mee te verdienen. Interessant wel.
Je moet er wel rekening mee houden dat men die lekken altijd al op voorhand gevonden heeft en tijdens de wedstrijd alleen maar aantoont. Vaak heeft men weken tot maanden gewerkt vooraleer men die kwetsbaarheden gevonden heeft.
Heb je hier een bron of iets voor? Weten ze dan bijv van te voren al wat voor apparatuur of software er gebruikt wordt voor de wedstrijd, of mogen ze zelf kiezen en gewoon zo veel mogelijk lekken presenteren?
Als je kijkt naar het Twitter-account van de organisatie dan zie je dat de wedstrijd om 9u begon en dan zie je ook dat men vrijwel direct erna begint met de exploits te tonen.

En op de website kan je de regels terugvinden. Deze zijn in het Chinees geschreven, maar nog zonder te scrollen zie je de lijst van "targets" al staan. Er is dus op voorhand vastgelegd welke producten men mag gaan hacken en demonstreren, met een uitzondering voor het kraken van een industriële setting.

EDIT: Google Translate vertaling van een deel van de regels:
Virtualization software includes: VMware Workstation (VMware ESXi), Linux KVM (qemu), Virtual Box
Operating system software includes: Windows server, Linux
Browser software includes: Microsoft Edge browser, Google Chrome, Apple Safari browser
Office software includes: MS Office series software, WPS Office series software, Adobe PDF Reader software
Mobile smart terminals include: iPhone, Xiaomi, OPPO and other latest flagship phones
The IOT terminal includes: a smart router, a smart speaker, and a charging post.
System cracking game. The system cracking game is an open topic. The organizing committee sets some industrial scene control equipment and topics on the spot (not announced in advance), and the participating teams can crack at the scene as appropriate.

[Reactie gewijzigd door Glodenox op 19 november 2019 13:55]

Thanks! vind het toch wel interessant dit en ook zeker een mooi initiatief.

Ook wel indrukwekkend om te zien, ondanks dat de producten van te voren bekend zijn, laat bijv '360vulcan ' wel zien dat ze er heel goed in zijn.

360vulcan:
Edge exploit (Remote code execution & sandbox escape): $55.000
Office365 control (binnen 16 seconden): $40.000
Ubuntu + gemu-kvm (Virtual Machine escape & partial control of the host binnen 24 seconden): $80.000
Adobe PDF Reader (Remote code execution): $7,500
VMWare EXSi (Virtual machine escape & full control of the host): $200.000

Totaal: $377.500
(Totaal volgens de organisatie: $382.500)

Dan wordt het nog verdeeld onder de team leden, maar toch een mooi bedrag naast het feit dat je alle gebruikers en fabrikanten van die software helpt.
Ik denk wel dat het 'live' bij elkaar zitten en volledig doelgericht zijn op deze manier een groot voordeel is. Een online groepering bij elkaar trommelen om hetzelfde voor elkaar te krijgen is een stuk moeilijker. Een dergelijke groep met kwade bedoelingen moet veel tijd besteden aan alleen maar buiten beeld blijven.

Ik ben wel benieuwd hoe ze die VMware breakout hebben gedaan. :Y)

[Reactie gewijzigd door blorf op 19 november 2019 12:03]

Ik ben dan ook benieuwd welke andere pakketten ook zijn bekeken en of daar ook lekken in gevonden zijn. Met name pakketten die ik zelf dagelijks gebruik: proxmox, cockpit, libreoffice, CentOS....
in een andere reactie werd wel iets gezegd over KVM (en dus Proxmox
Een gokje, het is een buffer overflow in een virtuele driver geschreven in C(++).
"standaard" stack based buffer overflow's zijn sinds DEP en ASLR al niet zo heel erg gangbaar meer. Als ik een gok mag doen zeg ik use-after free.
Tussen de drivers vermoedt ik eerst in de 'real-world' drivers zoals de E1000 nic en dergelijke scsi-drivers. Dat is meer code (en ook niet allemaal van 'vmware') dus meer mogelijkheid tot gaten dan de speciale virtualisatie-devices zoals de vmx-net nic.
In de contest wordt niet over ESXi gesproken maar over VMware Workstation? Nogal een verschil moet ik zeggen...
Het gaat om een integer overflow kwetsbaarheid in VMware Workstation (Windows/ Linus) en VMware Fusion (Apple Macintosh). vSphere ESXi wordt volgens VMware niet geraakt.

Een blog van VMware over de wedstrijd kun je hier teruglezen
https://blogs.vmware.com/...anfu-cup-pwn-contest.html

De kwetsbaarheid staat in deze advisory beschreven
https://www.vmware.com/se...ories/VMSA-2018-0030.html


Edit: correctie was een link van 2018. Zie hieronder verdere details.

[Reactie gewijzigd door Chocoball op 19 november 2019 16:50]

These links are for LAST year...

This years link is
https://blogs.vmware.com/...anfu-cup-pwn-contest.html

[Reactie gewijzigd door TechnoNotice op 19 november 2019 15:37]

"vSphere ESXi wordt volgens VMware niet geraakt."
Update November 17 2019
The Tianfu Cup PWN Contest has wrapped up after Day 2. On Day 2 of the contest the 360Vulcan team demonstrated an issue on VMware vSphere ESXi. We are currently investigating the issue after having received the details. We are actively working on its remediation and we plan on publishing a VMware Security Advisory to provide information on updates for affected products.

[Reactie gewijzigd door Tetraquark op 19 november 2019 16:26]

Sinds een aantal versies kan vmware-workstation (pro) gebruikt worden als gebruikers (console) toegang naar esx-servers.

Aan de andere kant: De gasten die op ESXi draaien, zouden ook zo, zonder aanpassingen, onder VMware Workstation draaien (mits het allemaal past en geen exotische ESXi zaken zijn gebruikt).
Ik ben benieuwd of de lek ook in VMware Workstation te vinden zal zijn. Nu is er wel een grote verschil tussen ESXI en Workstation, maar de vraag blijft wel hoe kwetsbaar Workstation is.

Ik gebruik zelf Workstation voor verschillende doeleinden; van het installeren van testversies, tot aan het voorbereiden voor certificeringen (bijv. installeren en configureren van core 2016).

Vraag blijft wel in hoeverre de ESXI code met Workstation overeenkomt. Je wilt immers niet dat er een exploit vanuit je virtuele omgeving naar je host (Windows omgeving), of fysiek nestelt in de geheugen en/of ROM, waardoor de exploit je gehele infrastructuur om zeep kan helpen.

Als VMware de exploit niet bekend wil maken, dan wil dat wel zeggen dat de hack zeer grote gevolgen kan hebben als het bekend wordt gemaakt. Het is maar nu dus afwachten wanneer het wordt gepatched en wanneer ze met een uitleg gaan komen.
Het lek is juist gevonden in de Workstation versie.

https://pbs.twimg.com/media/EJjjPYdVUAACZ3b.jpg

De vraag is of het ook in ESXi zit.
herstel

[Reactie gewijzigd door Tetraquark op 19 november 2019 16:21]

Het verschil tussen VMWare Workstation en ESXi is verrassend klein: De gasten zijn in principe compatible. Alleen exotische zaken zoals direct-hardware aansturen zijn vanuit de gast gezien niet altijd compatible. Het is dat ESXi wat meer management mogelijkheden heeft maar voor de gast maakt dat niet uit. Aan de andere kant is ESXi juist veel meer beperkt dan VMware Workstation. Probeer maar eens op de console van de ESXi te werken...
"In totaal werd voor 488 miljoen euro aan prijzengeld uitgedeeld"

Een half miljard euro? Dat kan nooit kloppen.
Nee dat is vrij veel inderdaad, foutje. Thanks!
https://twitter.com/TianfuCup/status/1195955592453472256
Some number reviews for the two-day #TFC 2019 PWN contest:
17 teams delivered 28 on-site demonstrations with 20 successful and 8 failed
11 teams have gained bonus
8 targets been taken down
Total bounty of $545,000 awarded!

Thanks everyone for participating!

[Reactie gewijzigd door Perkouw op 19 november 2019 11:43]

denk eerder dat het 488K moet zijn, dus bijna een half miljoen (nog steeds veel geld)
0Anoniem: 308166
@ymmv19 november 2019 11:43
Vooral aangezien het ernstigste lek dus blijkbaar 180k waard was, zelfs als elk lek 180k kreeg zijn dat 2700 lekken die gevonden werden in 2 dagen. Lijkt me sterk.
Ja je hebt gelijk. Zie https://twitter.com/TianfuCup/status/1195955592453472256

"Total bounty of $545,000 awarded!"
Dit moest dus 488 duizend euro aan prijzengeld zijn, niet 488 miljoen euro.

EDIT: Oeps, @Perkouw was me voor.

[Reactie gewijzigd door Rabliep op 19 november 2019 11:45]

0Anoniem: 120539
@ymmv19 november 2019 11:45
Het lijkt me ook wat veel, zeker in relatie tot het totale prijzengeld vorig jaar:
According to the organizers, in 2018 hackers earned $1,024,000 for a total of 30 vulnerabilities.
Edit: volgens Twitter:
Some number reviews for the two-day #TFC 2019 PWN contest:
17 teams delivered 28 on-site demonstrations with 20 successful and 8 failed
11 teams have gained bonus
8 targets been taken down
Total bounty of $545,000 awarded!

[Reactie gewijzigd door Anoniem: 120539 op 19 november 2019 11:47]

als ik dit artikel erbij pak: https://www.zdnet.com/art...-chinese-hacking-contest/
Dan lijkt het inderdaad aannemelijker dat het gaat om 488.000 euro
Quote na een snelle google:

"The Tianfu Cup 2019 International Cyber ​​Security Competition is ended and white hat hackers have earned $545,000 for working zero-day exploits."

Dat zou dan ongeveer 488 000 € zijn...

[Reactie gewijzigd door Privateer op 19 november 2019 11:42]

Some number reviews for the two-day #TFC 2019 PWN contest:
17 teams delivered 28 on-site demonstrations with 20 successful and 8 failed
11 teams have gained bonus
8 targets been taken down
Total bounty of $545,000 awarded

https://twitter.com/TianfuCup/status/1195955592453472256
tegenwoordig is hacken meer 'gewoon, omdat het kan', omdat de kennis makkelijk aan te leren is vandaag de dag. Vroeger heette het nog inbreken, en daar heeft het ook alles van weg.
Een goede hack neerzetten is alles behalve makkelijk en vereist vaak zeer veel kennis van de werking van het systeem wat je probeert te hacken.

Een SQL inject exploitje toepassen is hedendaags niet heel spannend meer, maar vind dit wel van een ander niveau.
De kennis is makkelijker aan te leren dan vroeger, youtube bant ook hacking video's.
Dat is nog steeds inbreken en vernietiging van anders mans eigendommen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True