Os hackers participantes da competição descobriram 37 vulnerabilidades em carros elétricos e carregadores da Tesla e ganharam US$ 516.500.

A competição Pwn2Own Automotive 2026 começou em Tóquio, onde especialistas em cibersegurança invadiram o sistema de infoentretenimento da Tesla e várias estações de carregamento de veículos elétricos logo no primeiro dia. Os participantes descobriram um total de 37 vulnerabilidades de dia zero e ganharam US$ 516.500.

Fonte da imagem: bleepingcomputer.com

De acordo com o BleepingComputer, a equipe da Synacktiv ganhou US$ 35.000 ao combinar um vazamento de dados e um erro de gravação fora dos limites para obter privilégios de root em um sistema de infoentretenimento da Tesla na categoria de ataque USB. Eles também usaram uma cadeia de três vulnerabilidades para executar código com privilégios de root em um receptor de mídia Sony XAV-9500ES, ganhando mais US$ 20.000.

A equipe da Fuzzware.io ganhou US$ 118.000 por invadir uma estação de carregamento Alpitronic HYC50, um carregador Autel e um receptor de navegação Kenwood DNR1007XR. A PetoWorks recebeu US$ 50.000 por uma combinação de três vulnerabilidades zero-day que lhes permitiu obter privilégios de root em um controlador de carregamento Phoenix Contact CHARX SEC-3150. A equipe DDOS também recebeu uma recompensa substancial de US$ 72.500 por invadir os carregadores ChargePoint Home Flex, Autel MaxiCharger e Grizzl-E Smart 40A.

Amanhã, no segundo dia da competição, quatro equipes tentarão invadir o Grizzl-E Smart 40A, três tentarão invadir o Autel MaxiCharger e outras duas tentarão obter acesso root ao ChargePoint Home Flex, ganhando uma recompensa de US$ 50.000 se forem bem-sucedidas. A Fuzzware.io também tentará invadir o carregador Phoenix Contact por um prêmio de US$ 70.000.

Fonte da imagem: ZDI

Os fabricantes devem desenvolver e lançar correções para as vulnerabilidades descobertas em até 90 dias após o término da competição, antes que a Trend Micro Zero Day Initiative (ZDI), o maior programa independente de recompensas por vulnerabilidades de software do mundo, divulgue os detalhes dos bugs encontrados. Os hackers estão visando sistemas IVI, carregadores de veículos elétricos e sistemas operacionais automotivos, como o Automotive Grade Linux.

A competição Pwn2Own Automotive 2026, dedicada à tecnologia automotiva, está acontecendo em Tóquio, como parte da conferência Automotive World, de 21 a 23 de janeiro. Vale lembrar que, em 2025, os participantes da Pwn2Own Automotive ganharam um total de US$ 886.250 por 49 vulnerabilidades, e a competição inaugural, em 2024, distribuiu mais de US$ 1,3 milhão em prêmios.