Pwn2Own Berlin 2026: Hacker treiben Unternehmenssysteme an ihre Grenzen und kassieren 1,3 Millionen Dollar
Der beliebte Hackathon Pwn2Own Berlin 2026 ist zu Ende gegangen. Die Teilnehmer haben insgesamt rund 1,3 Millionen Dollar für Exploits gegen Windows, Nvidia, Linux, VMware und KI-Produkte kassiert.

Image by Shutterstock
Der beliebte Hackathon Pwn2Own Berlin 2026 ist zu Ende gegangen. Die Teilnehmer haben insgesamt rund 1,3 Millionen Dollar für Exploits gegen Windows, Nvidia, Linux, VMware und KI-Produkte kassiert.
Nach Angaben der Zero Day Initiative (ZDI) von TrendAI erhielten White-Hat-Hacker insgesamt 1.298.250 Dollar für 47 einzigartige Schwachstellen.
„Die Sicherheitsforscher haben ihre letzten Exploits abgeliefert und Unternehmenssysteme ein letztes Mal an ihre Grenzen gebracht, während das Rennen um den Titel Master of Pwn in die Schlussphase ging“, erklärten die Veranstalter.
Allein zwei Teams, Devcore und StarLabs SG, sicherten sich knapp 750.000 Dollar der Gesamtsumme. Beide kassierten zudem die höchsten Einzelprämien für eine Exploit-Kette.
Devcore erhielt 200.000 Dollar für einen Remote-Code-Execution-Exploit mit System-Rechten in Microsoft Exchange sowie 175.000 Dollar für einen Sandbox-Escape in Microsoft Edge. Weitere 100.000 Dollar gab es für einen Angriff auf Microsoft SharePoint.
Check if your data has been leaked
StarLabs SG holte sich 200.000 Dollar für einen VMware-ESX-Exploit, der ein Add-on für Cross-Tenant-Code-Execution enthielt. Das drittplatzierte Team Out of Bounds erhielt für verschiedene Exploits insgesamt 95.750 Dollar.
Viele Teilnehmer knackten erfolgreich KI-Produkte und verdienten 40.000 Dollar dafür, Schwachstellen in LiteLLM, OpenAI Codex und LM Studio zu finden.
Acht Versuche scheiterten: Sie zielten auf Oracle Autonomous AI Database, NV Container Toolkit, OpenAI Codex, Safari, SharePoint, Red Hat Enterprise Linux for Workstations, Firefox und VMware ESX.
Reibungslos lief es allerdings nicht. Wie International Cyber Digest berichtet, wies die ZDI Dutzende funktionsfähiger Zero-Day-RCE-Einreichungen zurück, weil den Veranstaltern die Slots für den Wettbewerb ausgegangen seien.
Die abgewiesenen Hacker veröffentlichten daraufhin PoC-Demos und meldeten sich direkt bei den Herstellern, womit sie die sonst übliche Verschwiegenheit von Pwn2Own brachen.
Die ZDI wurde 2005 ins Leben gerufen, um Forscher finanziell zu belohnen und sie so zu motivieren, Zero-Day-Schwachstellen vertraulich an die betroffenen Hersteller zu melden.
Damals galten Personen, die Schwachstellen aufspürten, in Teilen der IT-Sicherheitsbranche als bösartige Hacker mit schädlichen Absichten.
„Manche sehen das noch immer so. Zwar gibt es versierte, bösartige Angreifer, doch sie machen nur einen kleinen Teil aller Menschen aus, die tatsächlich neue Software-Schwachstellen entdecken“, betonen die Veranstalter.
Entdecke weitere exklusive Cybernews-Inhalte auf YouTube.