피아트 크라이슬러, 자동차 보안 결함 발견에 최대 $1,500 지급

피아트 크라이슬러, 소프트웨어를 악용할 수 있는 해커에게 최대 $1,500 제공

피아트 크라이슬러 자동차(FCA)는 차량 소프트웨어의 취약점과 보안 버그를 찾는 해커에게 현금을 제공할 회사 목록에 합류하고 있습니다. 버그 바운티 프로그램의 보상은 화이트 해커와 연구자가 자동차 제조사의 지프, 램 트럭 또는 기타 모델 중 하나에서 발견한 보안 결함에 따라 $150에서 $1,500 사이가 될 것입니다.

“우리는 재현 가능하고 합법적인 취약점 발견에 대한 공식적인 인정과 보상을 약속했습니다. 단, 책임감 있게 공개될 경우에 한합니다.”라고 회사는 말합니다. “버그 바운티 프로젝트의 목표는 연구자들과 협력적인 관계를 조성하여 FCA의 차량 및 연결 서비스에서의 취약점에 대한 책임 있는 공개에 참여하도록 하는 것입니다.”

FCA는 Bugcrowd 플랫폼에서 보상을 제공할 것입니다. 이 플랫폼은 지급 관리를 담당합니다. Bugcrowd는 약 30,000명의 보안 연구자가 회원으로 활동하고 있다고 전합니다.

“차량을 만지작거리거나 IT 시스템을 만지작거리는 것을 좋아하는 사람들이 많습니다.”라고 피아트 크라이슬러의 수석 보안 관리자 타이투스 멜니크가 말했습니다. “우리는 독립적인 보안 연구자들이 우리에게 연락하여 그들이 발견한 내용을 공유하도록 장려하고 싶습니다.”

자동차 제조사는 연구자들에게 발견된 취약점에 대한 완전한 세부정보를 제공할 것을 요청하며, 여기에는 개념 증명 코드나 세부정보가 포함됩니다. Uconnect iOS, Uconnect Android, ecoDrive onAndroid 및 ecoDrive on iPhone 및 iPad가 모두 대상입니다. 또한, 자동차 제조사는 driveconnect.eu 및 ecodrive.driveconnect.eu 웹 도메인 내에서 발견된 보안 문제에 관심이 있습니다.

연구자들은 원격 코드 실행(RCE) 결함 및 인증된 페이지에서의 교차 사이트 스크립팅 버그와 같은 문제에 대해 FCA로부터 보상을 받을 것이지만, 클릭재킹, 오류 메시지, Adobe Air 인프라와 관련된 취약점, 공개 파일 및 디렉토리 또는 인증서 강도 문제와 같은 보안 문제에 대해서는 보상을 지급하지 않을 것입니다.

현재까지 총 네 가지 버그가 해결되고 보상을 받았지만, 각 보안 문제의 세부사항은 비공개로 유지됩니다.

FCA는 전 라인업의 자동차와 트럭을 보유한 최초의 자동차 제조사로서 이러한 보상을 제공한다고 밝혔으며, 전기차 제조사인 테슬라 모터스도 유사한 제안을 한 바 있습니다.

자동차 제조사는 발견된 취약점의 성격과 영향을 받는 사용자 범위에 따라 다른 사람들에게 이익이 될 수 있도록 결과를 공개할 수 있다고 말합니다.

FCA의 목표는 간단합니다. 그것은 차량에서 취약점을 찾아 비용이 많이 드는 리콜로 이어지거나 브랜드 이미지에 손상을 주기 전에 이를 해결하는 것입니다. 지난해, 이 회사는 두 명의 보안 연구자가 지프 체로키의 엔터테인먼트 시스템을 해킹하고 차량을 원격으로 제어한 후 140만 대의 차량을 리콜하고 소프트웨어를 업데이트해야 했습니다.

이 고프로필 시연은 피아트 크라이슬러에게는 당혹스러운 사건일 뿐만 아니라, 자동차 산업이 자사의 시스템이 안전한지 확인하기 위해 분주히 움직이게 만들었습니다.

“우리 소비자와 그들의 차량의 안전과 보안은 우리의 최우선 사항입니다.”라고 FCA US LLC의 사이버 보안 시스템 책임자 산드라 호슬러가 말했습니다. “안전 문화를 기반으로, FCA US는 엔지니어링, 안전, 규제 업무 및 연결 차량 전문가로 구성된 교차 기능 팀을 개발하여 차량 및 제품에 보안을 설계하여 구축하는 데 전념하고 있습니다.”

FCA는 차량을 더 안전하게 만들기 위해 해커를 고용한 유일한 회사가 아닙니다. 지난해, 우버는 지프 체로키를 원격 해킹한 두 사람을 고용했습니다.

FCA US 버그 바운티 프로그램 (https://bugcrowd.com/fca)은 사이버 보안 문제를 해결하기 위해 소프트웨어 테스트를 크라우드 소싱합니다. Bugcrowd 프로그램은 잠재적인 제품 보안 취약점을 찾고, 수정 사항을 구현하며, 안전과 보안을 강화하고, 사이버 보안 커뮤니티 내에서 투명성과 협력의 정신을 높이는 데 도움을 줄 것입니다.