Google en het Zero Day Initiative (ZDI, onderdeel van Tipping Point, eigendom van HP) vernachelen hun eigen Pwn2Own-hackwedstrijd door de regels een week voor aanvang ineens aan te passen. Deelnemers als de professionele hackers van Vupen zijn pissig.

Pwn4Fun, met Google en HP

Eerder deze week kwamen de organisatoren ineens met Pwn4Fun op de proppen, een event voorafgaand aan Pwn2Own, waar hackers van Google en ZDI zelf losgaan op gaten in besturingssystemen en browsers. Het prijzengeld gaat naar een goed doel.

Maar veel deelnemers aan Pwn2Own hebben er geen goed woord over. Een goedkope marketingstunt over de ruggen van de deelnemers heen. Want als Google of ZDI op Pwn4Fun toevallig of niet een zelfde 0-day-exploit openbaren als een deelnemer van Pwn2Own plan is, dan kan die laatste wel fluiten naar zijn prijzengeld, dat in de tonnen loopt.

Chaouki Bekrar, ceo van Vupen ventileert zijn mening

Om critici tegemoet te komen benadrukt ZDI in een latere blogpost dat de twee evenementen volledig los staan van elkaar. Mocht er dus een 0-day op Pwn2Own opduiken die al in Pwn4Fun is geopenbaard, dan krijgt de deelnemer alsnog zijn prijzengeld. Maar het gaat hackers veelal om de eer, en die blijft gekrenkt door de vreemde actie van Google en ZDI.

Houdt Google zelf 0-days achter?

Boze tongen beweren zelfs dat Google en HP alleen om goede sier te maken op Pwn4Fun al maandenlang 0-day-exploits achter de hand houden.