Pwn2Own-hackerswedstrijd biedt miljoen dollar voor zeroclickbugs in WhatsApp

Hackerscompetitie Pwn2Own deelt een beloning van een miljoen dollar uit aan hackers die bepaalde WhatsApp-bugs kunnen vinden. Later dit jaar kunnen hackers meedingen naar die prijs, waarbij ze code moeten kunnen uitvoeren in WhatsApp zonder tussenkomst van het slachtoffer.

Pwn2Own, de hackerswedstrijd van Trend Micro's Zero Day Initiative, wil de maximale beloning voor een WhatsApp-bug verhogen. Hackers die een zogenaamde zeroclickkwetsbaarheid vinden die vervolgens tot code execution kan leiden, kunnen aanspraak maken op die hoge beloning. Pwn2Own loofde vorig jaar voor het eerst een beloning uit voor een bug in WhatsApp, maar die was 300.000 dollar. Bovendien probeerden er toen geen hackers WhatsApp te kraken. "Misschien dat een beloning met twee punten genoeg motivatie is", zeggen de organisatoren, doelend op een miljoenenbedrag. Pwn2Own vindt dit jaar plaats van 21 tot en met 24 oktober.

Tijdens de hackwedstrijd maken ook hackers die andere kwetsbaarheden in WhatsApp vinden kans op een prijs. Een kwetsbaarheid waarmee code kan worden uitgevoerd en waarvoor wél gebruikersinteractie nodig is, levert een half miljoen dollar op. Ook zijn er beloningen voor bugs die het mogelijk maken een account over te nemen, de microfoon af te lezen of gebruikersdata te stelen.

De beloningen voor WhatsApp-bugs zijn de hoogste die tijdens Pwn2Own worden uitgereikt. Tijdens de hackwedstrijd wordt dit jaar voor het eerst ook een categorie toegevoegd voor hackers die via de USB-poort aanvallen uitvoeren. Voor telefoons als de Galaxy S25, de Pixel 9 en de iPhone 16 is er een beloning als hackers op afstand toegang tot data kunnen krijgen, maar er is ook een lagere beloning voor als de telefoon met USB is verbonden.

De prijzen voor WhatsApp zijn opvallend hoog, maar vallen waarschijnlijk in het niet bij de waarde die zeroclickbugs op de commerciële markt hebben. Hoewel prijslijsten daar de laatste jaren steeds ondoorzichtiger zijn geworden, zijn er signalen dat zulke bugs inmiddels vele miljoenen dollars waard zijn bij bedrijven zoals NSO Group of Zerodium.

Reacties (68)

neonite 4 augustus 2025 10:33

Er zijn niet alleen sìgnalen dat deze bugs meer waard zijn, er zijn ook concrete prijzen. Dergelijke kwetsbaarheden worden voor 5 mìljoen+ verhandeld.

slijkie @neonite • 4 augustus 2025 10:45

Oftewel, privaat verkopen aan een groep/bedrijf is zeker 5 maal gunstiger dan de competitie.

JBVisual @slijkie • 4 augustus 2025 10:53

Enig moreel besef op zijn plaats. De plekken waar 5 miljoen wordt geboden zijn de organisaties die er misbruik van willen maken.

Ik kan in het criminele circuit waarschijnlijk ook aanzienlijk meer geld bemachtigen dat ik nu in loondienst verdien.

Deze prijs is mooi omdat het een relatief hoog bedrag is en je in het algemene belang werkt, meta krijgt enige tijd op hun bug te fixen en daarna zal deze gepubliceerd worden. (Publicatie kan sneller gaan als meta de bug niet in redelijke termijn wil fixen om zo de druk op te voeren)

slijkie @JBVisual • 4 augustus 2025 11:05

Toch vind ik het zelf erg fijn om te zien wat mensen "moreel" juist vinden. Als hun overheden (MIVD) dit soort zero day bugs gebruiken tegen bijvoorbeeld "Rusland" of "China", dan is het geen enkel probleem. Echter als men dit soort dingen zou verkopen aan bedrijven die dan andere bedrijfspionage zouden uitvoeren of verkopen aan een partij als China of Rusland, het dan niet ok is.

Het is uiterst relatief wat een bepaald persoon juist vind of niet, plus wat daadwerkelijk feitelijk juist is of niet. Toch leven wij in een westerse samenleving waar men veel kritiek heeft op het socialistische Rusland/China, bij ons draait veelal alles op "Kapitalisme", waar de meeste mensen hier vast met enige regelmaat van baan switchen voor een grotere kapitalitische beloning. Dan zou je zeggen, er is niks minder kapitalistisch aan om dan een gevonden bug/lek te verkopen aan een partij, waar je het meest voor je "werk" vangt.

Een beetje "Potato, Potato" principe.

sjaakio79 @slijkie • 4 augustus 2025 11:08

Dat je nog denkt dat Rusland of China socialistisch zijn zegt al genoeg lijkt me.

Sunny @sjaakio79 • 4 augustus 2025 12:55

off-topic, maar het zou je verbazen dat China misschien wel betere sociale economische beleid heeft dan bijv de VS. (denk aan bijv armoede aka vermindering daarvan)

_Pussycat_ @Sunny • 4 augustus 2025 14:28

Niet verbazend maar algemeen bekend dat hun beleid effectief is. Wat het niet is, is socialistisch. Evenmin als rusland.

FearMe @Sunny • 5 augustus 2025 04:10

Het zou je verbazen dat Nederland "misschien wel betere sociale economische beleid heeft dan bijv de VS. (denk aan bijv armoede aka vermindering daarvan)", aangezien je ons wél expliciet kapitalistisch noemt.

YGDRASSIL

@slijkie • 4 augustus 2025 11:40

Het is denk ik vrij normaal dat wapens verkopen aan vrienden als positief wordt gezien en wapens verkopen aan vijanden, of op zijn minst minder vriendelijke mogendheden, als negatief wordt gezien. Een beetje "jouw vijand, onze vijand" principe

bzuidgeest @slijkie • 4 augustus 2025 12:10

Als hun overheden (MIVD) dit soort zero day bugs gebruiken tegen bijvoorbeeld "Rusland" of "China", dan is het geen enkel probleem.

Eerlijk gezegd is dat wel een probleem bij mij. Want als de overheden dit geheim houden om te gebruiken dan zijn hun eigen burgers net zo goed vatbaar voor het issue.

Ik zie liever dat het meteen gemeld word en de hele wereld voor burgers veiliger word. Of die nou in Nederland of China of Rusland zitten.

bigkillerstorm @slijkie • 4 augustus 2025 13:13

Moreel juist is dat het niet misbruikt wordt om wie dan ook lastig te vallen. Helaas zal Rusland wellicht ook westerse landen dit kunnen gebruiken voor digitale oorlog in geen enkel geval is dit juist. Mensen die elkaars leven opzettelijk zuur maken is eigenlijk altijd fout. Gegevens stelen of erger ransomware en mensen saboteren en chanteren, kostbare gegevens vernietigen. Gelukkig is een android besturingssysteem net zoals Apple. Wel minder gevoelig voor dit laatste omdat processen en rechten beter geïsoleerd zijn. Verder is moreel besef geen vaste regel inderdaad voor iedereen zit moreel net wat anders in elkaar. Hoewel iedereen lijkt mij wel weet wat goed en slecht is. Bug verkopen aan een bedrijf/overheid/persoon behalve de maker van de app etc. Weet je dat het misbruikt gaat worden al het leed daaruit hangt dan in principe om jouw nek. Zijn natuurlijk genoeg mensen die niks om leed geven behalve hun eigen leed of hebzucht.

mphilipp @slijkie • 4 augustus 2025 12:42

Toch leven wij in een westerse samenleving waar men veel kritiek heeft op het socialistische Rusland/China, bij ons draait veelal alles op "Kapitalisme", waar de meeste mensen hier vast met enige regelmaat van baan switchen voor een grotere kapitalitische beloning.

Ik denk dat je een vreemd beeld hebt van Rusland. Het is NIET socialistisch. Vroegâh, ten tijde van de Soviet Unie, heette het dat het socialistisch was, maar zelfs toen was dat niet zo. Er was nog steeds een elite die het beter had dat de arbeider. Bovendien verrijkte de partijtop zich op allerlei manieren en tierde zwarte handel welig. En het moment dat de Soviet Unie werd opgeheven, haastte men zich om voor een prikkie voormalige staatsbedrijven over te nemen, om vervolgens onnoemelijk rijk te worden. Het leger hield uitverkoop (ofewel: de generaals en hoge defensie ambtenaren verkochten miliair materieel). Het land werd zowat leeggeplunderd. Mijn vriendin komt uit de Soviet Unie en ik heb ook al vaker tegen haar gezegd dat de leiders van de zogenaamde socialistische revolutie hun eigen verhaal niet geloofden. Waarom anders moet je de mensen gewapend binnen je grenzen houden? En waarom wisten de voormalige Soviet Republieken niet hoe snel ze de onafhankelijkheid moesten uitroepen toen de USSR opgeheven werd? Omdat het zo geweldig was? Nee, ik denk het niet. En nu hebben we een hoop oligarchen die miljardair zijn geworden door die uitverkoop. Fijne socialistische staat.

En China...tsja...dat is een beetje raar land. Ze hebben hun markt gedeeltelijk kapitalistisch gemaakt, maar je moet geen spatjes krijgen, want dan volgt een correctie. Zie Jack Ma, die op een gegeven moment dacht dat ie wel wat kritiek kon hebben op de regering.... Dan wordt je even op je plek gezet. Ofwel: je verdwijnt een poosje en als je geluk hebt, mag je weer terugkeren. Maar hij zingt nu een toontje lager... Dus of China nu zo'n heilstaat is, weet ik niet. Ik denk er het mijne van.

Echter, beide landen moeten lekker zelf weten welke staatsvorm zij aanhangen. Als wij er ons écht zorgen over maken, moeten we ze maar proberen op andere gedachten te brengen. Rusland boycotten was relatief makkelijk, maar China durven we niet aan, want dan hebben we volgend jaar geen nieuwe iPhone meer...

GertMenkel

Beveiliging en antivirus

@slijkie • 4 augustus 2025 11:36

"Mensen vinden het niet leuk als je diensten aanbiedt aan landen die je veiligheid bedreigen (Rusland) of massaal industriële spionage op je land uitvoeren (China)" is nou niet zo'n gekke take. Een Chinees zal ook liever zijn exploit aan de Chinese overheid verkopen dan aan de Nederlandse.

China en Rusland zijn zo socialistisch als de Democratische Volksrepubliek Korea democratisch is. Rusland is niet eens meer socialistisch op papier. Beetje raar om hier een socialisme/kapitalisme-discussie van te maken.

_Pussycat_ @slijkie • 4 augustus 2025 14:31

Geen van de door jou genoemde landen is socialistisch. Ze zijn allemaal kapitalistisch. Socialisme erbij halen is compleet irrelevant.

Ongeveer het enige socialistische land wat er nog is is de Democratische Volksrepubliek Korea, en volgens mij mogen hun inwoners niet bugs vrij verkopen zoals ze willen.

GrooV @JBVisual • 4 augustus 2025 13:51

NSO Group en Zerodium verkopen aan overheden, er wordt gelijk geïmpliceerd dat hogere bedragen automatisch naar criminelen gaan maar landen betalen nog meer. Criminelen gebruiken geen WhatsApp maar PGP telefoons zoals Encrochat.

Onze MIVD koopt deze software ook en er is ook bewijs dat de FBI miljoenen betaalt om telefoons te kunnen unlocken.

Hierdoor blijft strengere backdoor wetgeving uit omdat landen weten als het echt moet dat ze altijd een telefoon kunnen ontgrendelen, maar dat heeft dan wel een prijs

Honytawk @JBVisual • 4 augustus 2025 15:11

Je zou denken dat het multi-miljarden bedrijf Facebook er genoeg geld voor over heeft om die bugs te krijgen.
Meer dan wat een crimineel zou kunnen/willen betalen.

WoutervOorschot

@JBVisual • 4 augustus 2025 15:16

En nog buiten moraal, het is ook gewoon legaal. De moeite (en consequenties) om illegaal dingen te verhandelen zal de meeste mensen toch ook sowieso wel tegenhouden.

_Pussycat_ @WoutervOorschot • 4 augustus 2025 17:07

Bugs verkopen is niet illegaal. Je mag ze verkopen aan wie je maar wilt.

Nas T @slijkie • 4 augustus 2025 10:55

In financiële zin wel. Maar los van geld en moreel besef, zit je te wachten op dat je opgepakt wordt en veroordeeld wordt? Hoeveel is dat je waard?

mocean @Nas T • 4 augustus 2025 11:03

Een kwetsbaarheid verkopen is an sich niet strafbaar m.i.

Dekar @mocean • 4 augustus 2025 11:12

Zeker wel.

Wet Computercriminaliteit (Wetboek van Strafrecht, artikel 138ab - 138c)

Hulpmiddelen aan te bieden of te verspreiden waarmee dat kan, zoals exploits of malware.
→ Artikel 139d lid 2: "Degene die opzettelijk programmatuur of gegevens beschikbaar stelt waarvan hij weet of redelijkerwijs moet vermoeden dat zij gebruikt zullen worden voor computervredebreuk, is strafbaar."

Medeplichtigheid aan strafbare feiten (artikel 48–49 Sr)

Als je een exploit verkoopt aan iemand met het vermoeden of de wetenschap dat die gebruikt zal worden voor een misdrijf (bijvoorbeeld spionage, ransomware, of sabotage), kun je worden vervolgd voor medeplichtigheid of medeplichtige voorbereiding.

Nederland volgt de EU-regels voor export van dual-use goederen, waaronder geavanceerde exploits kunnen vallen.

Zonder vergunning software (zoals exploits) exporteren buiten de EU of aan dubieuze actoren kan strafbaar zijn.
De Wassenaar Arrangement (waar Nederland aan meedoet) reguleert o.a. de export van “intrusion software.”

Het risico van gevangenis en al je geld kwijtraken is het die 4 miljoen extra niet waard. Met 1 miljoen moet je gewoon superblij zijn. Dat is de rest van je leven praktisch zorgeloos leven.

[Reactie gewijzigd door Dekar op 4 augustus 2025 11:20]

locke960 @Dekar • 4 augustus 2025 12:36

Ik denk dat het nog lastig kan worden om iemand daarop veroordeelt te krijgen, tenzij je direct iets aan een bekende criminele organisatie verkoopt. Maar wat als je iets aan Crowdfense or Zerodium verkoopt? Of een ander bedrijf met een website met mooie woorden?

GrooV @Dekar • 4 augustus 2025 14:07

Als jij als beveiligingsonderzoeker een bug vindt die 5 miljoen kan op kan brengen en daar kies je voor dan ga je echt niet de gevangenis in hoor. Onze overheid koopt net zo goed diensten van dit soort bedrijven, net zoals de politie andere tools heeft om mensen op te sporen.

Daarnaast moet er nog maar aangetoond worden dat een exploit ergens voor is gebruikt en dat het volledig jouw schuld is en dat jij het wist. Als jij dit aan een Zerodium of Raytheon verkoopt, netjes een factuur krijgt en belasting afdraagt is het al weer heel anders dan dat je het aan een hackers groep verkoopt en in Bitcoin betaalt krijgt in een schimmige deal.

Zie bijvoorbeeld FBI: we hebben Apple misschien niet nodig voor unlocken iPhone - update - Tweakers

[Reactie gewijzigd door GrooV op 4 augustus 2025 14:09]

Agent P @Dekar • 4 augustus 2025 12:04

Ik ben het zeker met je eens, behalve het laatste puntje.

Met 1 miljoen moet je gewoon superblij zijn. Dat is de rest van je leven praktisch zorgeloos leven.

1 miljoen, als je een modaal salaris hebt in Nederland (€46.500 bruto) is dat 21,5 jaar.

Dan ga je er van uit dat je de volledige 1 miljoen krijgt (de belastingdienst wilt natuurlijk ook van deze verdiensten meegenieten, of betaald de Pwn2Own organisatie deze?)

Dus 'De rest van je leven praktisch zorgeloos leven' is in mijn ogen niet mogelijk van dit geld.

Tenzij je al bijna aan je pensioen leeftijd zit.

Kijk als je ernaast gewoon werkt en modaal verdient is het zeker een leuk bedrag om de rest van je leven dit te kunnen investeren en er meer van te maken of om jezelf iedere maand wat meer uit te betalen hier van en net wat luxer, of meer zorgeloos kan leven.

Maar volledig zorgeloos leven de rest van je leven van dit bedrag is in mijn optiek niet helemaal het geval.

Die_ene_gast @Agent P • 4 augustus 2025 12:15

Dan krijg je 800k? Zet je dat in staatsobligaties ala 5 % p.j. is toch 40k per jaar. Ik zie het wel goedkomen hoor.

neonite @Die_ene_gast • 4 augustus 2025 12:43

Met de inkomstenbelasting mag je de bijna de helft weer afstorten. Ga maar uit van rond de 550k.

_Pussycat_ @Die_ene_gast • 4 augustus 2025 17:13

Als je (zoals onder genoemd) 550k na belasting hebt en daar 5% rente over hebt, zijn dat 27.5k/a. Daar moet je in NL ook weer belasting over betalen, ik meen 20% ofzo (woon niet in NL). Dan zijn het nog 22k.

Door inflatie wordt dat geld steeds minder, als we van 2% inflatie uitgaan is over 20 jaar dat 1.02^20 = factor 1.49 prijsverhoging. Over 20 jaar is het dus in euro's van nu nog 22k / 1.49 = 15k.

Oftewel 1.230 euro per maand. Ik zou er niet nee tegen zeggen, maar mijn baan opzeggen ga ik ook niet doen.
Ook heb je het probleem dat als je ophoudt met werken, je ineens heel veel tijd hebt om leuke dingen te doen en beter te eten dan in de kantine.

Trouwens zou je niet alleen van de rente willen leven, maar ook langzaam het bedrag zelf opsnoepen, dan heb je duidelijk meer, maar moet wel goed uitrekenen wanneer je van plan bent dood te gaan.

[Reactie gewijzigd door _Pussycat_ op 4 augustus 2025 17:14]

Die_ene_gast @_Pussycat_ • 5 augustus 2025 08:18

maar moet wel goed uitrekenen wanneer je van plan bent dood te gaan.

Vergeet niet AOW en je opgebouwde pensioen.

Dekar @Agent P • 4 augustus 2025 12:16

Een aanname dat iemand met 1 miljoen op de bankrekening plots stopt met werken is natuurlijk niet juist. Er is een verschil tussen met pensioen gaan en financieel zorgeloos zijn. In het tweede geval betekent het gewoon geen zorgen meer hebben.

Daarnaast neem je in jouw berekening rendement niet mee. Een depositorekening levert zo'n 3% rente op. Een beleggingsrekening al gauw meer dan 5%. Wat je ook kan doen is een huis kopen en je betaalt geen 4% rente meer op die lening. Als je dat inachtneemt, gaat je geld opeens veel langer mee.

T-men @Dekar • 4 augustus 2025 14:47

Ik denk dat het merendeel van de mensen dit soort bedragen van een paar ton niet gebruikt om van te leven, maar het in een mooier huis of een auto stopt.Pas als er dan wat over blijft zal men er echt mee gaan investeren om van het rendement te gaan genieten.

slijkie @Dekar • 4 augustus 2025 13:00

Daar is altijd wel een oplossing voor, even uitgaande dat een Nederlander een exploit heeft gevonden.

- Even uitschrijven uit Nederland, inschrijven in Curaçao, huis huren in Curaçao.

- Exploit verkopen, cashen

- Terug verhuizen (eventueel) naar Nederland

Oftewel, als je al de kennis hebt om zo een exploit te vinden, is het absoluut niet moeilijk om even uit te zoeken (of AI raadplegen is een goede start) waar je niet met de wet te maken krijgt.

Dit is niet om aan te geven dat je dit zou moeten doen, maar puur om aan te geven dat het helemaal niet zo moeilijk is om dat te omzeilen.

Schway @mocean • 4 augustus 2025 11:07

vreemdgaan is ook ook niet strafbaar.

Dat iets niet strafbaar is maakt het nog niet juist.

Chefd @Schway • 4 augustus 2025 11:12

Maar het ging er om of je ervoor opgepakt en veroordeeld wil worden. Niet of het wel of niet juist is. Als iets niet strafbaar is zullen vast heel veel mensen gewoon voor het geld kiezen.

bzuidgeest @Chefd • 4 augustus 2025 12:11

Gelukkig is het wel strafbaar. Faciliteren van een misdaad kan gewoon gestraft worden.

Zie ook mocean in 'Pwn2Own-hackerswedstrijd biedt miljoen dollar voor zeroclickbugs in WhatsApp'

[Reactie gewijzigd door bzuidgeest op 4 augustus 2025 12:12]

bzuidgeest @Die_ene_gast • 4 augustus 2025 13:55

Dat slaat (haha) nergens op. Hamers worden verkocht voor de normale intentie van timmeren. Security leaks worden niet verkocht om aan de muur te hangen, die worden verkocht voor misdaad. De intentie en verwachting van gebruik is totaal anders.

GrooV @bzuidgeest • 4 augustus 2025 14:10

Onzin, de FBI gebruikt dit ook en dat is geen misdaad, er is zeker een legitieme markt voor exploits. Zie bijv FBI: we hebben Apple misschien niet nodig voor unlocken iPhone - update - Tweakers

bzuidgeest @GrooV • 4 augustus 2025 15:10

Daar verschillen de meningen nog al over. Zeker in jou voorbeeld waar Apple niet blij was niet te weten waar een eventuele exploit zat. En dan zijn er nog dingen in rechtszaken waar je zit met dat je mag zwijgen tegen "self incrimination" in de VS. Dus die hele zaak was een twijfelachtige manier van doen.

Maar in dat geval zou je dus alleen een uitzondering hebben als je aan een overheidsinstantie verkoopt....

Maar wat als je aan de overheid van China of Rusland verkoopt???

Nee, in alle gevallen is de burger de dupe van dat iets niet gewoon gemeld is. De overheid (jou FBI) zou het kunnen gebruiken om op eigen burgers te spioneren. En als de FBI het kan, kan China of Rusland het ook. Dus mijn mening is dat het hoe dan ook misdadig is, maar die hoef jij niet te delen. Ik vind het hypocriet dat wij gaan bepalen wie er "goed" en wie er "slecht" is. Dat is maar een perspectief.

De enige legitieme markt voor exploit is dit soort wedstrijden als in het artikel en bug bounties. Al het andere, waar het gebruikt word tegen burgers, ongeacht de dienst of land, is wat mij betreft een misdaad.

[Reactie gewijzigd door bzuidgeest op 4 augustus 2025 15:12]

T-men @Schway • 4 augustus 2025 14:51

Vreemdgaan is wel degelijk strafbaar ! Vraag maar aan mijn vrouw !
Het is alleen niet een rechter die dan de strafmaat bepaalt.

Dat geldt ook voor andere zaken die moreel onjuist zijn. Daar reageert de maatschappij ook op. Al is het maar dat men je voortaan 'met de nek aankijkt'.

MalamuteOC @slijkie • 4 augustus 2025 11:50

is vaak zo he, als je er meer mee kan verdienen, is de bereidheid om er meer voor te vragen ook hoger.

1 miljoen voor een 1 time fix/oplossing.
Of 5 miljoen voor een kwetsbaarheid verkopen waar kwaadwillende vervolgens x miljoen mee kunnen aftroggelen van eventuele slachtoffers.

Pinkys Brain @neonite • 4 augustus 2025 19:53

Ik denk dat de Pwn2Own prijs voor code execution in de context van de app is en die 5 miljoen voor de root context. Appels en peren.

Macron

4 augustus 2025 10:45

Ben benieuwd hoe de mensen die zerodays aan bad actors / geheime diensten verkopen dit op hun belastingaangifte verklaren.

+ 5.000.000,00 wegens verkoop van bug in Whatsapp aan Rusland / Israel / Iran

Ik neem niet aan dat ze een koffer met geld krijgen.

Bizarre wereld.

Blokker_1999

Beveiliging en antivirus

@Macron • 4 augustus 2025 11:03

Gewoon in crypto, als men er ooit naar vraagt zeg je gewoon dat je in 2009 in Bitcoin bent ingestapt toen je voor $1 nog meerdere BTC kon kopen.

Dekar @Blokker_1999 • 4 augustus 2025 11:16

BTC is supermakkelijk na te trekken. Dan zien ze dat een rekening uit Rusland of Noord-Korea jou heeft betaald. Monero zou een beter betaalmiddel zijn.

[Reactie gewijzigd door Dekar op 4 augustus 2025 11:17]

Honytawk @Dekar • 4 augustus 2025 15:13

Dan gebruiken ze eerst een tussen persoon en valt het niet op.
Ongereguleerd geeft veel speling voor on,gure zaken.

Netrunner @Macron • 4 augustus 2025 10:58

Via deze route betreed je al gauw de onderwereld. Geld wordt hoogstwaarschijnlijk via complexe constructies verstrekt, buiten zicht van financiele systemen, waaronder ook zeker de optie om een koffer met geld ontvangen, die jij mag komen ophalen.

[Reactie gewijzigd door Netrunner op 4 augustus 2025 10:59]

AceAceAce @Netrunner • 4 augustus 2025 11:10

Ophalen mag, maar meenemen niet...

acizane80 @Macron • 4 augustus 2025 10:59

die worden vandaag de dag vaak in crypto of andere uitbetaald, die gelinked staat op een of ander digitaal betaalkaart dat moeilijk te traceren is en ingeschreven in een of ander louche land die geen info deelt met eu. Op die manier kunnen dergelijke criminelen nog steeds (ehm) hun brood kopen.

Ik blijf dit een mooi initiatief vinden, zo hebben morele hackers op legitieme wijze inkomsten en kunnen ze gelijk kwetsbaarheden kenbaar maken zonder zelf vervolgd te worden.
Ik stel mij wel de vraag wat er van die miljoen overblijft eens de belastingdienst is gepasseerd.

MalamuteOC @Macron • 4 augustus 2025 12:03

Zulks noemen ze gewoon 'crypto' die ze waarschijnlijk in een besloten en/of offline wallet krijgen.

Beetje zoals normale boeven ook hun geld verdelen, 10 kg waspoeder in de aanbieding, prima hier heb je 3 btc op een standalone wallet oid.

Mooi, deze kun je vervolgens weer aan een btc verzamelaar/handelaar kwijt, die je er wellicht wel weer via via via geld/aandelen oid voor geeft.
Hoe je dat vervolgens weer opgeeft, tja daar zijn ook prima constructies voor uitgevonden (onder andere via de VVD en co) die de mazen in de wet geschapen hebben voor de rijkere onder de samenleving.

Schway @Macron • 4 augustus 2025 11:09

"Kunstwerk verkocht voor 5 miljoen"

themadone @Macron • 4 augustus 2025 11:22

Als ze een beetje slim zijn sturen ze "gewoon" een factuurtje van 5 miljoen vanuit hun onderneming, tikken de belasting af en gaan weer lekker verder met hacken.

SinergyX @Macron • 4 augustus 2025 12:04

De jongens die hier bezig zijn, zijn slecht 'onderdeel' van. Zij doen waar ze goed in zijn (hacken) en laten anderen doen waar zij goed in zijn; verkopen van zulke exploits. Jaar of 3 geleden youtube video zitten kijken hoe ze in Rusland aan bepaalde exploits kwamen, alles liep via tussenpersonen, brokers, contactpersonen, niemand leek uberhaubt te weten die de maker van die exploits was.

Het is niet zoals stelen van een diamand of schilderij, elke exploit kan simpel gekopieerd of nagemaakt worden, dat er zelfs whitehackers in goede vertrouwen iets vinden, maar wordt door een mede-(maar grey/black)hacker nagemaakt en doorgezet naar dit circuit.

n9iels

@Macron • 4 augustus 2025 12:05

Als je de connecties hebt met instanties om zo'n bug te verkopen denk ik dat je ook wel weet hoe die 5 miljoen doorgesluisd kan worden.

Majestici 4 augustus 2025 10:30

Waarom een afdeling ervoor hebben, als je nerds kunt baiten om het werk voor je gratis te doen. Ja iemand wint de prijs, maar de rest werkt gratis. En je hebt voor maar 1 miljoen al je bugs er waarschijnlijk uit. Een koopje voor Meta.

lenwar

Whatsapp
Beveiliging en antivirus

@Majestici • 4 augustus 2025 10:43

Is Meta hier op enige wijze bij betrokken dan? Ik krijg eerder het gevoel dat deze groep gewoon een tool heeft uitgekozen en succes ermee. Voor Meta kan dit heel erg twee kanten op gaan. Afhankelijk van wat er gevonden wordt staan ze, of heel erg voor joker, of ze hebben er baat bij. (en alles er tussenin)

Christoxz @lenwar • 4 augustus 2025 12:51

Is Meta hier op enige wijze bij betrokken dan?

Ja zeker, Meta is co-sponsering dit event.

As you might have guessed from the title, we’re excited to announce that Meta is co-sponsoring this year’s event, and they are hoping to see some great WhatsApp exploits. They are so excited for it, we’re putting up $1,000,000 for a 0-click WhatsApp bug that leads to code execution.

Het staat er niet letterlijk, maar de prijzen komen gewoon uit Meta's hun broekzak.

lenwar

Whatsapp
Beveiliging en antivirus

@Christoxz • 4 augustus 2025 13:04

Helder, bedankt.

Het is alleen 'onder andere' uit hun broekzak, er zijn natuurlijk nog meer sponsoren, maar ze zullen vast een flinke duit in het zakje hebben gedaan. Maar is WhatsApp dan uitgekozen omdat Meta een sponsor is? Of is Meta gaan sponsoren, omdat ze WhatsApp hadden uitgekozen? Dat haal ik 123 niet uit het verhaal. (maakt onder aan de streep niet zo heel veel uit natuurlijk

)

Christoxz @lenwar • 4 augustus 2025 13:10

WhatsApp uitgekozen als wat exact?
WhatsApp is niet het enige product/app waar beloningen mee te winnen valt op dit event.

Hoe het financieel loopt met andere producten weet ik ook niet.

lenwar

Whatsapp
Beveiliging en antivirus

@Christoxz • 4 augustus 2025 15:06

edit:
Ik las je berichtje verkeerd.

Waar ik op doelde, is dat eerst WhatsApp was uitgekozen om aan te vallen, en dat Meta daarop had besloten te gaan sponsoren.

[Reactie gewijzigd door lenwar op 4 augustus 2025 15:11]

InfiniteSpaze @Majestici • 4 augustus 2025 10:35

Je kan het ook anders zien. Volgens mij zijn er ook mensen die dit voor de sport doen en nu maken ze kans om er iets mee te winnen. Zijn er niet talloze verhalen van mensen die in hun vrije tijd bezig zijn en exploits hebben gevonden? In sommige gevallen worden deze mensen zelfs aangenomen. Dus ik denk dat het ook wel goed staat op je CV, dus misschien hoef je nog niet eens te winnen om er beter uit te komen.

GertMenkel

Beveiliging en antivirus

@Majestici • 4 augustus 2025 11:57

Meta gaat hier niet zo heel veel op vooruit. Gratis securitywerk is leuk maar Meta doet het er niet beter of slechter van als hun gebruikers heimelijk gehackt worden, pas als dat het nieuws bereikt hebben ze een probleem. Met een goed lek (of een goede set lekken) kan een beveiligingsonderzoeker talks geven op DEFCON, Black Hat, Shmoocon, en iedere talk is een kans op voorpaginanieuws op (tech)nieuwswebsites. Ik denk dat Meta de boel liever stilletjes zou patchen dan dat ze er nog maanden video's de wereld in gaan van "hoe ik jouw telefoon op afstand kon overnemen doordat Meta het lezen van een PNG verneukte".

Sterker nog, als Meta wel wat om veiligheid geeft, is dit juist een nadeel. Onderzoekers sparen nu hun exploits op tot voorbij halverwege het jaar om een kans te maken prijzengeld te winnen. De kans is groot dat we kritieke RCE-bugs in WhatsApp zitten die al maanden niet gepatcht zijn omdat onderzoekers er een miljoen mee kunnen verdienen als ze wachten. Vanaf de dag dat pwn2own voorbij is, begint het hoarden weer.

Dit gaat puur om prestige en reclame. Prestige voor de individuen die willen laten zien dat ze het geld waard zijn om door bedrijven ingehuurd te worden, en reclame voor de bedrijven die teams sturen/sponsoren die meedoen. De prijzen maken het de moeite waard om er tijd en moeite in te investeren naast je echte baan, maar de meeste bugs bij pwn2own leveren bijna niks op als je de gemaakte kosten meerekent. Zelfs een miljoen valt nog wel mee als je bedrijf al een jaar lang twintig man betaalt om een dag in de week met eigen projecten als deze bezig te gaan.

[Reactie gewijzigd door GertMenkel op 4 augustus 2025 11:57]

Christoxz @Majestici • 4 augustus 2025 12:50

Het kost wel meer dan 1 miljoen.
Dit is niet het enige moment dat je bugs kan melden voor een beloning, Meta heeft een bug bounty programma.
Binnen dit event, zijn er nog veel meer beloningen voor Meta/Whatsapp.
Daarnaast kunnen er ook twee losstaande bugs gevonden worden die beide beloond worden met 1 miljoen dollar.

DeeDiWy

4 augustus 2025 11:29

Het is vakantietijd: Mocht je je verder willen verdiepen in de wereld van handel in zero-days, dan kan ik het boek aanbevelen “This is how they tell me the world ends” van Nicole Pelroth.

Alweer een tijdje uit maar aardig om de ontwikkeling van deze handel te lezen. En verontrustend..

djwice

4 augustus 2025 10:25

Dan kun je het wellicht zoeken in injecties en de url fetcher. Deze kan niet goed omgaan met bepaalde tekens. (hint)

Die_ene_gast @djwice • 4 augustus 2025 12:19

Word rijk zou ik zeggen.

fuzzyIon 4 augustus 2025 16:27

En geen reclame

mehmet-ali_can 5 augustus 2025 16:43

Kan ik zelf thuis programmeren en via e-mail sturen als ik die gevonden heb?

En hoe gaat dat via bank 1 miljoen euro?

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (68)

Sorteer op:

Weergave: