Tijdens de jaarlijkse Pwn2Own-wedstrijd in Vancouver hebben onderzoekers tal van zerodaylekken in Ubuntu Linx, Windows, Apple Safari, Google Chrome, Microsoft Edge en Oracle VirtualBox gedemonstreerd. Het waren echter zerodays in een Tesla Model 3 en VMware Workstation die op de eerste dag de show stalen. Pwn2Own is een wedstrijd die onderzoekers beloont voor het demonstreren van onbekende kwetsbaarheden in populaire producten. Gedemonstreerde beveiligingslekken worden vervolgens aan de betreffende leverancier gemeld, zodat die het probleem kan verhelpen.

Tijdens de editie in Vancouver hebben deelnemers de keuze om zerodays te demonstreren in populaire browsers, containers, virtualisatiesoftware, kantoorsoftware, Microsoft-serversoftware, besturingssystemen, zakelijke communicatiesoftware en onderdelen van een Tesla Model 3 of Tesla Model S. Daarbij is het grootste bedrag te verdienen met een succesvolle aanval op de Tesla's. In het geval onderzoekers de autopilot weten te compromitteren wordt hier een bedrag van 500.000 dollar voor betaald.

Op de eerste dag lieten onderzoekers van Synacktiv zien hoe ze de Tesla "electronic control unit (ECU) met Vehicle (VEH) CAN BUS Control konden compromitteren. Hiervoor werd een enkele integer overflow gebruikt. Dit leverde de onderzoekers een beloning van 200.000 dollar op en een nieuwe Tesla Model 3. De andere demonstratie die opviel was een aanval op VMware Workstation.

Onderzoekers van Theori wisten via drie kwetsbaarheden uit VMware Workstation te breken en vervolgens code met systeemrechten op het onderliggende Windows-systeem uit te voeren. Deze aanval leverde de onderzoekers een bedrag van 130.000 dollar op. Details worden eerst met de betreffende leveranciers gedeeld, zodat die updates kunnen ontwikkelen. Vandaag vindt de tweede dag plaats van Pwn2Own Vancouver.