Beveiligingsexpert en hoofd van het Google Security Team Chris Evans heeft hard uitgehaald naar de Pwn2Own hackerwedstrijd en het Franse beveiligingsbedrijf VUPEN. Tijdens de Pwn2Own hackerwedstrijd werd Google Chrome door het Franse beveiligingsbedrijf VUPEN gehackt. Het wedstrijdreglement stelde dat deelnemers niet hoefden te vertellen hoe ze uit de sandbox wisten te breken. Volgens organisator TippingPoint zouden hackers anders niet meedoen. De hoofdprijs bedroeg namelijk 40.000 euro, en een exploit om uit de sandbox te breken zou veel meer waard zijn.

Google besloot vanwege deze regels niet mee te doen en een eigen wedstrijd te organiseren, genaamd Pwnium. Daar moesten onderzoekers wel de gehele aanval prijsgeven. Twee beveiligingsonderzoekers deden mee en wisten de browser te kraken, wat elk 40.000 euro opleverde. Dat toont volgens Evans aan dat 40.000 euro voldoende voor een sandbox-exploit. Het Franse VUPEN wilde die details echterniet voordat bedrag openbaren.

Regels
Evans merkt op dat het Franse beveiligingsbedrijf Chrome niet hackte, maar de ingebouwde Adobe Flash Player plugin. Het lek was al bekend bij Adobe en zou in Flash Player 11.2 gepatcht worden, die inmiddels ook al verschenen is.

"Hoewel ze zich aan de spelregels hielden, deed hun inzending niet veel om de veiligheid van gebruikers te verbeteren. Hun bugfix stond al gepland om onder gebruikers te worden verspreid. Ze wisten echter wel 40.000 euro van Pwn2Own af te snoepen en veranderde de hele wedstrijd in een VUPEN marketingfeest", stelt Evans.

Voor volgend jaar adviseert hij TippingPoint om de regels aan te passen en volledige exploits van de deelnemers te eisen. Daarnaast zou er niet moeten worden betaald voor lekken die al op het punt staan om gepatcht te worden. Als laatste zou er een vaste beloning per exploit moeten zijn.