Vöruöryggi

Tesla metur vinnu öryggissérfræðinga sem bæta öryggi vara okkar og þjónustu. Við einsetjum okkur að vinna með þessu samfélagi til að staðfesta, endurtaka og bregðast við raunverulegum tilkynntum veilum. Við hvetjum samfélagið til að taka þátt í ferli okkar tengdu ábyrgum tilkynningum. Til að skrá þig sem forsamþykktan öryggisrannsóknaraðila sem starfar í góðri trú og fá ökutæki á lista sem skráð öryggisökutæki skaltu senda beiðni á  VulnerabilityReporting@tesla.com.

Fyrir ökutæki eða orkuvöru

Við notum Bugcrowd sem verkvang til að verðlauna öll greind vandamál en þú skalt tilkynna vandamál tengd ökutæki og vörum beint á VulnerabilityReporting@tesla.com með því að nota PGP lykil okkar til að dulkóða skýrslur sem innihalda viðkvæmar upplýsingar.

Villur þriðju aðila

Ef vandamál sem tilkynnt eru til þjónustu okkar sem veitir verðlaun fyrir að finna veilur hafa áhrif á hugbúnað þriðja aðila, ytra verkefni eða annan söluaðila áskilur Tesla sér rétt til að framsenda upplýsingar um vandamálið til þess aðila án frekari samráðs við rannsóknaraðilann. Við munum gera okkar besta til að samhæfa og eiga samskipti við rannsóknaraðila gegnum ferlið.

Leiðbeiningar um ábyrga upplýsingagjöf

Við rannsökum raunverulegar tilkynningar og gerum okkar besta til að lagfæra allar veilur. Til að hvetja til ábyrgra tilkynninga munum við ekki grípa til lagalegra aðgerða gegn þér né biðja löggæsluyfirvöld að rannsaka þig svo framarlega að þú fylgir leiðbeiningum um ábyrga upplýsingagjöf:

  • Veitir upplýsingar um veiluna, þar á meðal upplýsingar sem þörf er á til að endurtaka og sannreyna veiluna og sönnun á hugmynd. Allar veilur sem tengjast virkni í ökutæki sem skráð er í rannsóknarskyni þarf að tilkynna innan 168 klukkustunda og núll mínútna (7 daga) frá því að veilan finnst.
  • Gerir þitt besta til að forðast persónuverndarbrot, eyðingu gagna og truflun eða minnkun á þjónustu.
  • Breytir ekki eða nálgast gögn sem ekki tilheyra þér.
  • Veitir Tesla hæfilegan tíma til að leiðrétta vandamálið áður en þú gerir upplýsingar opinberar.
  • Breytir bara ökutækjum sem þú átt eða hefur heimild til að fá aðgang að.
  • Minnkir ekki öryggi ökutækisins eða gerir að verkum að aðrir þurfi að búa við minna öryggi.
  • Öryggisrannsóknir eru bundnar við öryggisbúnað í Infotainment-tvíundum, Gateway-tvíundum, ECU sem Tesla hefur þróað og orkuvörur.

Til að taka af allan vafa þá

  • Ef þú (fyrirfram samþykktur öryggisrannsakandi sem starfar í góðri trú), á meðan þú gerir öryggisrannsóknir í góðri trú, veldur veldur hugbúnaðarvandamáli sem veldur því að uppfæra þarf eða „enduruppsetja“ ökutæki þitt sem er skráð í öryggisrannsóknir, þá skal Tesla, til að sýna góðvilja, gera eðlilegar tilraunir til að uppfæra eða „enduruppsetja“ Tesla hugbúnað, bjóða aðstoð á þjónustumiðstöðvum til að endurheimta hugbúnað ökutækisins með hefðbundnum þjónustuverkfærum okkar, eða grípa til annarra aðgerða sem við teljum eðlilegar. Tesla getur ákveðið einhliða hvaða hugbúnaður eða aðstoð verða veit og einungis í takmarkaðan fjölda skipta. Aðstoð Tesla nær ekki til kostnaðar sem þú verður fyrir (t.d. dráttarkostnaðar). Tesla áskilur sér rétt til að takmarka fjölda þjónustubeiðna á hvern forsamþykktan, rannsakanda sem starfar í góðri trú og afskrá ökutæki sem skráð er í rannsóknir hvenær sem er.
  • Tesla telur að forsamþykktur rannsakandi sem starfar í góðri trú og fylgir þessum reglum um aðgang að tölvu á ökutæki sem skráð er í rannsóknir eða orkuvöru hafi ekki fengið aðgang að tölvu án heimildar eða farið umfram heimilaðan aðgang samkvæmt Computer Fraud and Abuse Act („CFAA“).
  • Tesla mun ekki lögsækja vegna brota gegn höfundarrétti samkvæmt Digital Millennium Copyright Act („DMCA“) ef um er að ræða forsamþykktan rannsakanda sem starfar í góðri trú og fer kringum öryggisbúnað, svo framarlega að rannsakandinn fari ekki í annan kóða eða tvíundir.
  • Tesla mun ekki telja ábyrgð á ökutæki sem er skráð í öryggisrannsóknir falla niður ef um er að ræða hugbúnaðarbreytingar sem verða til vegna öryggisrannsókna í góðri trú af hálfu öryggisrannsakanda sem starfar í góðri trú, þrátt fyrir að skemmdir á bílnum sem verða vegna breytinga á hugbúnaði munu ekki heyra undir ökutækisábyrgð Tesla.

Tesla Security Researcher Hall of Fame

Tesla appreciates and wants to recognize the contributions of security researchers. If you are the first researcher to report a confirmed vulnerability, we will list your name in our Hall of Fame (unless you would prefer to remain anonymous). You may also be considered for an award if you are the first researcher to report one of the top 3 confirmed vulnerabilities in a calendar quarter. You must comply with our Responsible Disclosure Guidelines (above) to be considered for our Hall of Fame and top 3 awards.

2018 UnicornTeam Jun Li (@bravo_fighter), Qing Yang (@Ir0nSmith), Yingtao Zeng, Chaoran Wang
2017 Keen Security Lab Tencent for CVE-2017-9983 and CVE-2017-6261
2016 Keen Security Lab Tencent
  Skygo Team,
USSlab
Qihoo360,
Zhejiang University
2014 Eusebiu Blindu @testalways
  Muhammed Gazzaly @gazly
  Jianhao Liu Qihoo 360 Adlab
  Jiaheng Wang Zhejiang University
  Yanjing Wu Zhejiang University
  Wenyuan Xu Zhejiang University
  Nitesh Bhatter @nbhatter
2013 Jaime Manteiga  
  Anshuman Bhartiya @anshuman_bh
  Nitin Goplani @nitingoplani88
  Issam Rabhi @yappare
  Ahmad Ashraff  
  Phil Purviance @superevr
  Michael  
  Jon Bitquark Security Research
  Jack "fin1te" W  
  Ch. Muhammad Osama  
  Arsiadi Sriyanto @donrookie
  Nikhil Kumar Srivastava @niksthehacker
  Muhammad Shahmeer
Maads Security
@Shahmeer_Amir
  Olivier Beg @smiegles
  Ashar Javed @soaj1664ashar
  Jay Turla HP Fortify
  Haris Mamoun  
  Mehmet Ince @mmetince