Fiat Chrysler Pagará Até $1.500 Para Encontrar Falhas de Segurança Em Seus Carros

Fiat Chrysler oferecendo até $1.500 para hackers que podem explorar seu software

A Fiat Chrysler Automobiles (FCA) está se juntando a uma lista de empresas que oferecerão dinheiro a hackers por encontrar vulnerabilidades e bugs de segurança em seu software de veículos. A recompensa no programa de recompensas por bugs será de qualquer valor entre $150 e $1.500, dependendo da falha de segurança que os hackers e pesquisadores de chapéu branco descobrirem em um dos Jeeps, caminhões Ram ou outros modelos da montadora.

“Comprometemo-nos a reconhecer formalmente e compensar a descoberta de vulnerabilidades reproduzíveis e legítimas, desde que sejam divulgadas de forma responsável”, diz a empresa. “Nosso objetivo com o projeto Bug Bounty é fomentar um relacionamento colaborativo com pesquisadores para participar da divulgação responsável de vulnerabilidades nos veículos e serviços conectados da FCA.”

A FCA oferecerá a recompensa na plataforma Bugcrowd. A plataforma gerenciará os pagamentos. A Bugcrowd diz que tem cerca de 30.000 pesquisadores de segurança como membros.

“Há muitas pessoas que gostam de mexer em seus veículos ou mexer em sistemas de TI”, disse Titus Melnyk, um gerente sênior de segurança da Fiat Chrysler. “Queremos encorajar pesquisadores de segurança independentes a entrar em contato conosco e compartilhar o que encontraram.”

A montadora pede que os pesquisadores forneçam detalhes completos de quaisquer vulnerabilidades encontradas, incluindo código de prova de conceito ou detalhes. Uconnect iOS, Uconnect Android, ecoDrive onAndroid e ecoDrive no iPhone e iPad são todos alvos. Além disso, a montadora está interessada em problemas de segurança encontrados nos domínios web driveconnect.eu e ecodrive.driveconnect.eu.

Os pesquisadores serão recompensados pela FCA por problemas como falhas de execução remota de código (RCE) e bugs de script entre sites em páginas autenticadas, mas não emitir recompensas por problemas de segurança, incluindo clickjacking, mensagens de erro, vulnerabilidades relacionadas à infraestrutura do Adobe Air, arquivos e diretórios públicos ou problemas de força de certificado.

No total, quatro bugs foram resolvidos e recompensados até agora, mas os detalhes de cada problema de segurança permanecem privados.

A FCA afirma que é a primeira montadora com uma linha completa de carros e caminhões a oferecer tal recompensa, embora a fabricante de carros elétricos Tesla Motors Inc. tenha feito uma oferta semelhante.

A montadora afirma que pode tornar as descobertas públicas para beneficiar outros, dependendo da natureza da vulnerabilidade potencial identificada e do escopo de usuários impactados, se houver.

O objetivo da FCA é simples: encontrar vulnerabilidades em seus veículos antes que possam levar a um recall caro e manchar a imagem da marca. No ano passado, a empresa foi obrigada a recolher 1,4 milhão de veículos e atualizar seu software após dois pesquisadores de segurança invadirem o sistema de entretenimento de um Jeep Cherokee e assumirem o controle do veículo remotamente.

A demonstração de alto perfil não foi apenas um incidente embaraçoso para a Fiat Chrysler, mas também fez com que a indústria automotiva se apressasse para garantir que seus sistemas sejam seguros.

“A segurança e proteção de nossos consumidores e seus veículos é nossa maior prioridade”, disse Sandra Hosler, responsável pelo sistema de cibersegurança, FCA US LLC. “Baseando-se em uma cultura de segurança, a FCA US desenvolveu uma equipe multifuncional composta por especialistas em engenharia, segurança, assuntos regulatórios e veículos conectados, que são dedicados à colaboração e engajamento com uma ampla gama de profissionais da indústria para construir segurança em nossos veículos e produtos por design.”

A FCA não é a única empresa que contratou hackers para tornar seus carros mais seguros. No ano passado, a Uber contratou a dupla que invadiu remotamente o Jeep Cherokee.

O programa de recompensas por bugs da FCA US (https://bugcrowd.com/fca) crowdsources testes de software para enfrentar os desafios de cibersegurança. O programa Bugcrowd ajudará a encontrar potenciais vulnerabilidades de segurança do produto; implementar correções; aumentar a segurança e proteção e elevar o espírito de transparência e cooperação dentro da comunidade de cibersegurança.