Z informacji udostępnionych przez organizatora - HP TippingPoint - wynika, że nagrody będą stopniowane. Najwyższa kwota, czyli 100 tys. USD, zostanie przyznana osobie, która jako pierwsza zaprezentuje skutecznego exploita na nieznaną wcześniej lukę w Google Chrome na Windows 7 lub Internet Explorerze na Windows 8. 75 tys. USD będzie można otrzymać za pokonanie starszego oprogramowania (np. Internet Explorer 9) - wysokość nagród będzie malała w przypadku aplikacji bardziej podatnych na ewentualne atak: złamanie zabezpieczeń Adobe Flasha/Readera to nagroda w wysokości 70 tys. USD, Safari - 65 tys., Firefoksa - 60 tys. zaś Javy - 20 tys. USD. Według organizatorów, teoretycznie możliwe jest, że całą pulę nagród - 560 tys. USD - może zgarnąć jedna osoba (o ile zademonstruje skuteczne exploity na wszystkie aplikacje uwzględnione w Pwn2Own).

Warto dodać, że co najmniej w jednej z wymienionych powyżej aplikacji są znane i wciąż nie załatane błędy - chodzi o Javę. "Wygląda na to, że organizatorzy dają 20 tys. USD za darmo" - ironizuje Kostya Kortchinsky, znany specjalista ds. bezpieczeństwa, obecnie pracujący dla Microsoftu. Niewykluczone jednak, że do czasu rozpoczęcia konkursu Oracle zdoła rozwiązać ten problem - historia pokazuje, że producenci aplikacji testowanych podczas Pwn2Own krótko przed imprezą sprężają się i przygotowują aktualizacje dla swoich produktów.

Zobacz również:

• Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie

Zgodnie z tradycją, konkurs rozegrany zostanie podczas konferencji CanSecWest w Vancouver, w dniach 6-8 marca. Sponsorami imprezy są HP (do którego należy firma Tipping Point) oraz Google - co jest pewnym zaskoczeniem, bo w ubiegłym roku doszło do konfliktu pomiędzy organizatorami a operatorem popularnej wyszukiwarki. Problemem okazały się zasady ujawniania informacji o błędach wykorzystywanych podczas Pwn2Own - obie strony nie zdołały się dogadać i ostatecznie Google wycofał się ze sponsoringu. Zamiast tego firma zorganizował na CanSecWest własny konkurs hakerski (Pwnium), w którym wypłaciła łącznie 120 tys. USD za wykrycie błędów w Chrome.

W tym roku zdecydowano się na powrót do korzeni w kwestii zasad - zamiast zastosowanego roku temu niejasnego i skomplikowanego systemu wyłaniania uczestników, ponownie pojawiło się zwykłe losowanie. Każdy uczestnik będzie losował miejsce w kolejce do łamania poszczególnych aplikacji - każdy ma 30 minut na pokonanie zabezpieczeń, jeśli w tym czasie nie zdąży, próbę podejmuje kolejna osoba z listy. I tak do skutku - zabawa kończy się w momencie złamania zabezpieczeń danej aplikacji.

Zasady przewidują również, ze zwycięzca w każdej z kategorii musi przekazać organizatorom pełne informacje o problemie oraz sprawnego exploita (rok temu takiego obowiązku nie było - i dlatego właśnie Google zrezygnował z udziału w konkursie).