Компания Tesla Motors запустила на Bugcrowd собственную программу вознаграждений, в рамках которой исследователи смогут получить до $1 тыс. за отчет об обнаруженной уязвимости. Однако получить награды за уязвимости, найденные в производимых компанией транспортных средствах, не получится — программа на них не распространяется.

Объекты, на которые распространяется данная программа, немногочисленны; среди них — основной домен teslamotors.com и другие домены, принадлежащие компании. Онлайн-магазин Tesla и прочие сайты, размещенные на стороннем веб-хостинге, под Bug Bounty не подпадают.

Вознаграждения также не распространяются на транспортные средства и их программное и аппаратное обеспечение. У компании есть отдельная схема подачи отчетов об уязвимостях в ее транспортных средствах.

«Мы в Tesla очень ценим проделанную ИБ-исследователями работу по улучшению безопасности наших продуктов и услуг. Мы намерены продолжать сотрудничество с этим комьюнити, проверять, воспроизводить и устранять уязвимости, отчеты о которых были присланы нам легитимным образом. Мы призываем комьюнити активнее использовать нашу процедуру подачи отчетов об уязвимостях», — заявили представители компании.

За последние несколько лет исследования атак на ПО, используемое в автотранспорте, расширились, в особенности благодаря Крису Валашеку (Chris Valasek) и Чарли Миллеру (Charlie Miller), исследователям, разработавшим несколько атак на системы, используемые в автомобилях различных производителей. Производители авто в целом не видят особой перспективы у подобных исследований. Tesla же, в отличие от других компаний, решила хоть на каком-то уровне наладить взаимодействие с ИБ-исследователями.

Компания планирует представить свои автомобили модели S на DEF CON в августе этого года.

К уязвимостям, подпадающим под новую Bug Bounty, относятся:

  • XSS: $200–500
  • Подделка межсайтовых запросов: $100–500
  • SQL: $500–$1 тыс.
  • Внедрение команд: $1 тыс.
  • Проблемы с бизнес-логикой: $100–300
  • Горизонтальное повышение привилегий: $500
  • Вертикальное повышение привилегий: $500–$1 тыс.
  • Принудительный браузинг/незащищенные прямые ссылки на объекты: $100–500
  • Некорректная настройка безопасности: до $200
  • Раскрытие конфиденциальных данных: до $300

Минимальная награда составляет $25, максимальная — $1 тыс.

Изображение взято из фотоколлекции пользователя Flickr Isaac.

Категории: Кибероборона, Уязвимости