菲亚特克莱斯勒提供悬赏 欢迎黑客寻找科技错误(Bugs)

Published : 2016.12.14

底特律报导-黑客们正在参与一场和早期西部赏金猎人相似的“找错误(bugs),得赏金”的活动。

他们的枪枝被电脑(如Linux系统)取代,并且目标不再是叼着雪茄的逃犯,而是潜在的软件问题和安全漏洞。

以7月13日由菲亚特克莱斯勒美国公司(以下简称为FCA)公布的方案为例,赏金由150美元到1,500美元不等。

在由黑客远程遥控所导致,Jeep Cherokee广为人知的140万台车辆召回事件大约一年后,FCA表示已提供道德黑客们于程序设计中找到错误的机会,并可以此换取金钱报偿。

这项方案由位于旧金山的公司Bugcrowd管理,负责经营其他公司类似的专案,包含特斯拉公司100美金到1万美金不等的报偿方案。

就像其他公司所为,FCA的寻找错误赏金计划是使用Bugcrowd已建的网络安全社区,以及建立可透明化标示出潜在的软件缺陷的公开频道。

该汽车制造商表示,这项方案将会帮助辨认出潜在的产品安全脆弱性,及找出修复方法,从而能增进FCA汽车的稳定性及安全性。

FCA安全架构高级经理,提多•梅尔尼克(Titus Melnyk)于新闻稿表示,“揭露或公开脆弱性并不是为了赢得公众更多的关注,这对于保护消费者并没有多大帮助。反之,我们想要奖励那些安全研究人员所花费的时间和努力,这至终才会带给所有人好处。”

可使赏金猎人作为问题来领取报酬的“错误”是有限制的。举例来说,一个针对FCA任何一部分软体基础结构而有的阻断服务攻击,是被赏金方案排除在外的。

事实上,FCA的赏金行动的确有几项特定标的物,主要是Uconnect及ecoDrive平台。该公司说,其余域名或应用程序等并未被列为标的物的项目,不包含在赏金方案里,也不应该被测试。

读者可在bugcrowd.com/fca的网站上找到完整的规则和标的物列表。

去年夏天,两位网络安全专家骇进2014年款Jeep Cherokee的Uconnect信息娱乐系统,打开该Jeep的空调,并干扰收音机,最终使整个加速器都失去功能。

这两位“专家”-查理•米勒(Charlie Miller)和克里斯•法拉斯克(Chris Valasek),也使这款当时正停在停车场上的SUV的煞车系统失灵。他们当时只能在车子位于倒档时控制方向盘。

那次事件后,FCA开始修补两位黑客花了几个月才确认的脆弱环节,但这也促成该公司自愿召回美国的140万辆轿车及卡车,以更新收音机系统中的软件。

 

原文出处:

http://www.mlive.com/auto/index.ssf/2016/07/fiat_chrysler_offers_hackers_b.html#incart_river_index


< PrevBack to blogNext >

Office locations * Main office location

USA
  • * Oxford
    (Michigan)

  • Ann Arbor
    (Michigan)

  • Los Angeles
    (California)


China
  • * Shanghai

  • Beijing

  • Tianjin

  • Taipei
    (Taiwan)