Fiat Chrysler pagará hasta $1,500 para encontrar fallos de seguridad en sus coches

Fiat Chrysler ofrece hasta $1,500 a los hackers que puedan explotar su software

Fiat Chrysler Automobiles (FCA) se une a una lista de empresas que ofrecerán dinero en efectivo a los hackers por encontrar vulnerabilidades y errores de seguridad en el software de sus vehículos. La recompensa en el programa de recompensas por errores oscilará entre $150 y $1,500, dependiendo del fallo de seguridad que los hackers éticos e investigadores descubran en uno de los Jeeps, camiones Ram u otros modelos del fabricante de automóviles.

“Nos hemos comprometido a un reconocimiento formal y compensación por el descubrimiento de vulnerabilidades reproducibles y legítimas, siempre que se divulguen de manera responsable”, dice la empresa. “Nuestro objetivo con el proyecto Bug Bounty es fomentar una relación colaborativa con los investigadores para participar en la divulgación responsable de vulnerabilidades en los vehículos y servicios conectados de FCA.”

FCA ofrecerá la recompensa en la plataforma Bugcrowd. La plataforma gestionará los pagos. Bugcrowd dice que tiene alrededor de 30,000 investigadores de seguridad como miembros.

“Hay muchas personas a las que les gusta experimentar con sus vehículos o con sistemas de TI”, dijo Titus Melnyk, un gerente senior de seguridad en Fiat Chrysler. “Queremos alentar a los investigadores de seguridad independientes a que se pongan en contacto con nosotros y compartan lo que han encontrado.”

El fabricante de automóviles pide a los investigadores que proporcionen detalles completos de cualquier vulnerabilidad encontrada, incluyendo código de prueba de concepto o detalles. Uconnect iOS, Uconnect Android, ecoDrive en Android y ecoDrive en el iPhone y iPad son todos objetivos. Además, el fabricante de automóviles está interesado en problemas de seguridad encontrados dentro de los dominios web driveconnect.eu y ecodrive.driveconnect.eu.

Los investigadores serán recompensados por FCA por problemas como fallos de ejecución remota de código (RCE) y errores de scripting entre sitios en páginas autenticadas, pero no se emitirán recompensas por problemas de seguridad que incluyan clickjacking, mensajes de error, vulnerabilidades relacionadas con la infraestructura de Adobe Air, archivos y directorios públicos o problemas de fortaleza de certificados.

En total, se han resuelto y recompensado cuatro errores hasta ahora, pero los detalles de cada problema de seguridad permanecen privados.

FCA dice que es el primer fabricante de automóviles con una línea completa de coches y camiones en ofrecer tal recompensa, aunque el fabricante de coches eléctricos Tesla Motors Inc. ha hecho una oferta similar.

El fabricante de automóviles dice que puede hacer públicos los hallazgos para beneficiar a otros, dependiendo de la naturaleza de la vulnerabilidad potencial identificada y el alcance de los usuarios afectados, si los hay.

El objetivo de FCA es simple: encontrar vulnerabilidades en sus vehículos antes de que puedan llevar a un costoso retiro del mercado y manchar la imagen de la marca. El año pasado, la empresa se vio obligada a retirar 1.4 millones de vehículos y actualizar su software después de que dos investigadores de seguridad hackearan el sistema de entretenimiento de un Jeep Cherokee y tomaran el control del vehículo de forma remota.

La demostración de alto perfil no solo fue un incidente embarazoso para Fiat Chrysler, sino que también hizo que la industria automotriz se apresurara a asegurarse de que sus sistemas sean seguros.

“La seguridad y protección de nuestros consumidores y sus vehículos es nuestra máxima prioridad”, dijo Sandra Hosler, responsable del sistema de ciberseguridad, FCA US LLC. “Basándonos en una cultura de seguridad, FCA US ha desarrollado un equipo multifuncional compuesto por especialistas en ingeniería, seguridad, asuntos regulatorios y vehículos conectados que están dedicados a la colaboración y el compromiso con una amplia gama de profesionales de la industria para incorporar la seguridad en nuestros vehículos y productos por diseño.”

FCA no es la única empresa que ha contratado hackers para hacer sus coches más seguros. El año pasado, Uber contrató al dúo que hackeó de forma remota el Jeep Cherokee.

El programa de recompensas por errores de FCA US (https://bugcrowd.com/fca) utiliza la colaboración para abordar los desafíos de ciberseguridad. El programa Bugcrowd ayudará a encontrar vulnerabilidades de seguridad en productos potenciales; implementar soluciones; mejorar la seguridad y protección y elevar el espíritu de transparencia y cooperación dentro de la comunidad de ciberseguridad.