Zeroday Cloud: Hacker-Wettbewerb winkt mit 4,5 Millionen US-Dollar Preisgeld

Noch bis zum 1. Dezember 2025 können ambitionierte Hacker im Rahmen des erstmalig stattfindenden Wettbewerbs Zeroday Cloud (Eigenschreibweise: zeroday.cloud) ihren Exploit-Code einreichen.

Erfolgreichen Teilnehmern winken Preisgelder in Höhe von insgesamt rund 4,5 Millionen US-Dollar, verteilt auf mehr als 20 weitverbreitete Anwendungen, die auf verschiedene Arten eng mit Cloud-Technologien in Verbindung stehen. Dazu zählen etwa das Nvidia Container Toolkit, Kubernetes, Grafana, Docker, Apache Tomcat, PostgreSQL, Jenkins, Gitlab CE und der Linux-Kernel.

Wichtigste Bedingung des vom Cloudsicherheits-Unternehmen Wiz in Zusammenarbeit mit AWS (Amazon Web Services), Google und Microsoft veranstalteten Contests: Es muss sich um einen Zero-Day-Exploit, also einen Angriff auf eine neu entdeckte, bislang unbekannte Lücke handeln. Ferner muss der Angriff letztlich zur vollständigen Kompromittierung des verwundbaren Systems führen („0-click unauthenticated Remote Code Execution“).

Details und Fallstricke bei der Anmeldung

Die gesamte Liste möglicher Angriffsziele nebst Preisgeldern können Interessierte der Website des Zeroday Cloud-Wettbewerbs entnehmen. Dort findet man auch die genauen Teilnahmebedingungen, Anmeldeformulare und weitere Informationen. Vorkonfigurierte Zielsysteme zum Einbinden in Docker haben die Veranstalter in einem eigenen GitHub-Repository hinterlegt.

Teilnehmer, deren Beitrag von der Jury akzeptiert wird, haben die Gelegenheit, ihren Exploit im Rahmen der im Dezember in London stattfindenden Konferenz Black Hat Europe live zu demonstrieren. Gelingt dort der Angriff, haben sie gewonnen. Der betreffende Exploit wird anschließend im Zuge eines Responsible-Disclosure-Verfahrens an den betreffenden Hersteller übermittelt, um diesem ausreichend Zeit zum Schließen der Lücke zu geben.

Wichtig bei der Anmeldung: Laut Veranstalter müssen sich einzeln oder auch als Team Teilnehmende bereits bis zum 20. November auf der Bug-Bounty-Plattform HackerOne registrieren, den vorgeschriebenen Identitätsnachweis erbracht und bestimmte Steuer- und sonstige Angaben übermittelt haben. Die Frist bis zum 1. Dezember bezieht sich also missverständlicherweise nur auf den Exploit selbst.

Den Schwarzmarkt überbieten

Mit einem Wettbewerb, der sich speziell auf die Cloud fokussiert, füllt Wiz eine wichtige Lücke. Denn als Speicherort riesiger Mengen von Unternehmensdaten rückt diese immer stärker ins Visier von Cybergangstern. So zapfen etwa einige Ransomware-Gangs mittlerweile gezielt Cloudspeicher an, um möglichst effizient an Informationen zu gelangen, die sich für eine Erpressung eignen. Andere verschlüsseln Daten gleich an Ort und Stelle. Oder sie zerstören Cloud-Backups, um ihre Chance auf ein Lösegeld zu erhöhen.

Exploit-Code, der rechtzeitig in die richtigen Hände gelangt, hilft Unternehmen dabei, Angreifern einen Schritt voraus zu sein. Hohe Geldbeträge als Preis eines Wettbewerbs stellen in diesem Zusammenhang viel mehr als nur eine nette Belohnung für wohlmeinende, hilfsbereite Sicherheitsforscher dar. Mit ihnen lassen sich vielmehr auch Teilnehmer anlocken, die ihre Zero-Day-Exploits sonst womöglich in Untergrundforen feilbieten und dort letztlich an Kriminelle verkaufen würden, die schon für den nächsten Angriff in den Startlöchern stehen.

Dass es darauf ankommt, die Preise des Schwarzmarkts zu überbieten, erkennen immer mehr Unternehmen. Zuletzt baute etwa Apple sein Bug-Bounty-Programm massiv aus: Die bisherigen Zahlungen wurden verdoppelt bis vervierfacht. So bot das Unternehmen bislang für einen Zero-Click-Angriff aus der Ferne, der keine Nutzerinteraktion verlangt und die Geräteübernahme ermöglicht, bis zu einer Million Dollar. Nun sind es zwei Millionen.

(ovw)