Produktsicherheit

Tesla values the work done by security researchers in improving the security of our products and service offerings. We are committed to working with this community to verify, reproduce, and respond to legitimate reported vulnerabilities. We encourage the community to participate in our responsible reporting process. To register as a pre-approved, good-faith security researcher and register a vehicle as a research-registered vehicle, please submit requests to VulnerabilityReporting@tesla.com.

Für ein Fahrzeug oder ein Energieprodukt

While we use Bugcrowd as a platform for rewarding all issues, please report vehicle and product related issues directly to VulnerabilityReporting@tesla.com, using our PGP key to encrypt reports containing sensitive information.

Drittanbieter-Fehler

Wenn Probleme, die an unser Bug Bounty-Programm gemeldet werden, eine Bibliothek eines Drittanbieters, ein externes Projekt oder einen anderen Anbieter betreffen, behält sich Tesla das Recht vor, die Details des Problems ohne weitere Diskussion mit dem Sicherheitsforscher an diese Partei weiterzuleiten. Wir werden unser Bestes tun, um diesen Prozess zu koordinieren und mit den Forschern zu kommunizieren.

Richtlinien zur verantwortungsvollen Aufdeckung von Sicherheitslücken

Wir untersuchen berechtigte Meldungen und unternehmen alle Anstrengungen zur schellen Behebung von Schwachstellen. Um ein verantwortungsvolles Meldeverfahren zu fördern, haben wir uns dazu verpflichtet, keine rechtlichen Schritte gegen Sie vorzunehmen oder Strafverfolgungsbehörden einzuschalten, wenn Sie die folgenden Richtlinien zur verantwortungsvollen Aufdeckung von Schwachstellen (Responsible Disclosure Guidelines) einhalten:

  • Sie geben detaillierte Informationen über die Schwachstelle an, darunter alle Infos, die benötigt werden, um die Schwachstelle nachzuvollziehen und zu prüfen, und übermitteln uns einen Proof of Concept (POC). Jede Schwachstelle, die eine Funktionalität betrifft, die nicht auf einem zu Forschungszwecken registrierten Fahrzeug vorhanden ist, muss innerhalb von 168 Stunden und null Minuten (7 Tagen) nach Feststellen der Schwachstelle gemeldet werden.
  • Sie bemühen sich nach Treu und Glauben, Datenschutzverletzungen, die Vernichtung von Daten und die Unterbrechung oder Verschlechterung unserer Services zu vermeiden.
  • Sie ändern keine Daten, die Ihnen nicht gehören, und greifen auch nicht auf solche Daten zu.
  • Sie geben uns angemessen Zeit für eine Behebung des Problems, bevor Sie mit Informationen an die Öffentlichkeit gehen.
  • Verändern Sie nur Fahrzeuge, die Ihnen gehören oder auf die Sie zugriffsberechtigt sind.
  • Sie dürfen die Sicherheit des Fahrzeugs nicht gefährden und dürfen andere nicht in gefährliche Situationen bringen.
  • Die Sicherheitsforschung beschränkt sich auf die Sicherheitsmechanismen der Infotainment-Binärdateien, der Gateway-Binärdateien, der von Tesla entwickelten ECUs und der Energieprodukte.

Zur Klarstellung wird angemerkt:

  • Falls Sie (ein vorab zugelassener in gutem Glauben handelnder Sicherheitsforscher) durch Ihre in gutem Glauben durchgeführte Sicherheitsforschung ein Softwareproblem verursachen, das es erforderlich macht, dass Ihr zu Forschungszwecken registriertes Fahrzeug aktualisiert oder „reflashed“ wird, unternimmt Tesla angemessene Anstrengungen, um die Tesla-Software auf dem zu Forschungszwecken registrierten Fahrzeug zu aktualisieren oder per „Reflash“ zu starten, indem ein Over-the-Air-Update durchgeführt wird, das Unterstützung in einem Servicecenter bietet, um die Software des Fahrzeugs mithilfe unserer Standard-Servicetools wiederherzustellen, oder indem andere Massnahmen ergriffen werden, die wir als angemessen erachten. Es liegt im Ermessen von Tesla, welche Software oder sonstige Unterstützung zur Verfügung gestellt wird, und dies möglicherweise nur für eine begrenzte Anzahl von Gelegenheiten. Die Unterstützung von Tesla erstreckt sich nicht auf Auslagen (z. B. Abschleppkosten), die Ihnen entstanden sind. Tesla behält sich das Recht vor, die Anzahl der Serviceanfragen pro vorab zugelassenem, in gutem Glauben handelndem Sicherheitsforscher zu begrenzen und die Registrierung eines zu Forschungszwecken registrierten Fahrzeugs jederzeit aufzuheben.
  • Tesla geht davon aus, dass ein vorab zugelassener Sicherheitsforscher, der diese Richtlinie einhält, um auf einen Computer in einem zu Forschungszwecken registrierten Fahrzeug oder Energieprodukt zuzugreifen, nicht ohne Genehmigung auf einen Computer zugegriffen hat bzw. den autorisierten Zugriff im Rahmen des Computer Fraud and Abuse Act (Gesetz gegen Computerbetrug und -missbrauch, CFAA) nicht überschritten hat.
  • Tesla erhebt keine Klage wegen Urheberrechtsverletzung gemäss dem Digital Millennium Copyright Act („DMCA“) gegen einen vorab genehmigten, in gutem Glauben handelnden Sicherheitsforscher, der den Sicherheitsmechanismus umgeht, solange der Forscher nicht auf andere Codes oder Binärdateien zugreift.
  • Tesla geht nicht davon aus, dass Softwareänderungen, die von einem in gutem Glauben handelnden Sicherheitsforscher an einem zu Forschungszwecken registrierten Fahrzeug vorgenommen wurden, zum Erlöschen der Fahrzeuggarantie des zu Forschungszwecken registrierten Fahrzeugs führen, ungeachtet dessen, dass Schäden am Fahrzeug, die aus Softwareänderungen resultieren, nicht von Tesla im Rahmen der Fahrzeuggarantie abgedeckt werden.

Teslas „Hall of Fame“ der Sicherheitsexperten

Tesla schätzt den Einsatz von Sicherheitsexperten und möchte sich für diesen Einsatz entsprechend bedanken. Wenn Sie als erster Sicherheitsexperte eine bestätigte Sicherheitslücke aufdecken, wird Ihr Name in unserer „Hall of Fame“ aufgeführt (es sei denn, Sie möchten anonym bleiben). Sie haben ausserdem die Chance auf eine Auszeichnung, wenn Sie der erste Sicherheitsexperte sind, der eine der 3 wichtigsten bestätigten Sicherheitslücken in einem Kalendervierteljahr meldet. Sie müssen unsere Richtlinien zur verantwortungsvollen Aufdeckung von Sicherheitslücken (oben) einhalten, um in unserer „Hall of Fame“ und unserer Auszeichnung für die 3 wichtigsten Sicherheitslücken berücksichtigt zu werden.

2018 UnicornTeam Jun Li (@bravo_fighter), Qing Yang (@Ir0nSmith), Yingtao Zeng, Chaoran Wang
2017 Keen Security Lab Tencent for CVE-2017-9983 and CVE-2017-6261
2016 Keen Security Lab Tencent
  Skygo Team,
USSlab
Qihoo360,
Zhejiang University
2014 Eusebiu Blindu @testalways
  Muhammed Gazzaly @gazly
  Jianhao Liu Qihoo 360 Adlab
  Jiaheng Wang Zhejiang University
  Yanjing Wu Zhejiang University
  Wenyuan Xu Zhejiang University
  Nitesh Bhatter @nbhatter
2013 Jaime Manteiga  
  Anshuman Bhartiya @anshuman_bh
  Nitin Goplani @nitingoplani88
  Issam Rabhi @yappare
  Ahmad Ashraff  
  Phil Purviance @superevr
  Michael  
  Jon Bitquark Security Research
  Jack "fin1te" W  
  Ch. Muhammad Osama  
  Arsiadi Sriyanto @donrookie
  Nikhil Kumar Srivastava @niksthehacker
  Muhammad Shahmeer
Maads Security
@Shahmeer_Amir
  Olivier Beg @smiegles
  Ashar Javed @soaj1664ashar
  Jay Turla HP Fortify
  Haris Mamoun  
  Mehmet Ince @mmetince