Fiat Chrysler заплатит до $1,500 за нахождение уязвимостей в своих автомобилях

Fiat Chrysler предлагает до $1,500 хакерам, которые могут эксплуатировать его программное обеспечение

Fiat Chrysler Automobiles (FCA) присоединяется к списку компаний, которые будут предлагать хакерам деньги за нахождение уязвимостей и ошибок безопасности в программном обеспечении своих автомобилей. Награда в программе поощрения за нахождение ошибок составит от $150 до $1,500, в зависимости от уязвимости, которую белые хакеры и исследователи обнаружат в одном из внедорожников Jeep, грузовиков Ram или других моделей автопроизводителя.

“Мы обязуемся к официальному признанию и компенсации за обнаружение воспроизводимых и легитимных уязвимостей, при условии, что они будут раскрыты ответственно”, - говорит компания. “Наша цель с проектом Bug Bounty - способствовать сотрудничеству с исследователями для участия в ответственном раскрытии уязвимостей в автомобилях FCA и связанных услугах.”

FCA предложит вознаграждение на платформе Bugcrowd. Платформа будет управлять выплатами. Bugcrowd сообщает, что у нее около 30,000 исследователей безопасности в качестве участников.

“Существует много людей, которые любят возиться со своими автомобилями или системами ИТ”, - сказал Титус Мельник, старший менеджер по безопасности в Fiat Chrysler. “Мы хотим поощрять независимых исследователей безопасности обращаться к нам и делиться тем, что они нашли.”

Автопроизводитель просит исследователей предоставить полные детали любых найденных уязвимостей, включая код или детали доказательства концепции. Uconnect iOS, Uconnect Android, ecoDrive на Android и ecoDrive на iPhone и iPad являются целями. Кроме того, автопроизводитель заинтересован в проблемах безопасности, найденных в веб-доменах driveconnect.eu и ecodrive.driveconnect.eu.

Исследователи будут вознаграждены FCA за проблемы, такие как уязвимости удаленного выполнения кода (RCE) и ошибки межсайтового скриптинга на аутентифицированных страницах, но не будут выдавать вознаграждения за проблемы безопасности, включая кликджекинг, сообщения об ошибках, уязвимости, относящиеся к инфраструктуре Adobe Air, публичные файлы и директории или проблемы с прочностью сертификатов.

Всего четыре ошибки были решены и вознаграждены до сих пор, но детали каждой проблемы безопасности остаются конфиденциальными.

FCA утверждает, что это первый автопроизводитель с полным модельным рядом автомобилей и грузовиков, который предлагает такое вознаграждение, хотя производитель электромобилей Tesla Motors Inc. сделал аналогичное предложение.

Автопроизводитель говорит, что может сделать результаты публичными, чтобы принести пользу другим, в зависимости от характера потенциальной уязвимости и объема затронутых пользователей, если таковые имеются.

Цель FCA проста: найти уязвимости в своих автомобилях до того, как они могут привести к дорогостоящему отзыву и испортить имидж бренда. В прошлом году компания была вынуждена отозвать 1.4 миллиона автомобилей и обновить свое программное обеспечение после того, как два исследователя безопасности взломали развлекательную систему Jeep Cherokee и взяли под контроль автомобиль удаленно.

Это высокопрофильное демонстрационное событие стало не только позорным инцидентом для Fiat Chrysler, но и заставило автомобильную промышленность спешить, чтобы убедиться, что ее системы безопасны.

“Безопасность и защита наших потребителей и их автомобилей - наш высший приоритет”, - сказала Сандра Хослер, ответственная за систему кибербезопасности, FCA US LLC. “Основываясь на культуре безопасности, FCA US разработала межфункциональную команду, состоящую из специалистов по инженерии, безопасности, нормативным вопросам и связанным автомобилям, которые посвящены сотрудничеству и взаимодействию с широким кругом профессионалов отрасли для внедрения безопасности в наши автомобили и продукты по умолчанию.”

FCA не единственная компания, которая наняла хакеров для повышения безопасности своих автомобилей. В прошлом году Uber нанял дуэт, который удаленно взломал Jeep Cherokee.

Программа поощрения за нахождение ошибок FCA US (https://bugcrowd.com/fca) использует краудсорсинг для тестирования программного обеспечения, чтобы решить проблемы кибербезопасности. Программа Bugcrowd поможет найти потенциальные уязвимости безопасности продукта; внедрить исправления; повысить безопасность и защиту и поднять дух прозрачности и сотрудничества в сообществе кибербезопасности.