제품 보안
Tesla는 제품 및 서비스 제공의 보안을 개선하기 위해 보안 연구원이 수행한 작업을 가치 있게 평가합니다. Tesla는 이 커뮤니티와 협업하여 보고된 합법적인 취약점을 확인하고 재현하고 대응하기 위해 노력합니다. Tesla는 커뮤니티가 책임감 있는 보고 과정에 참여하도록 권장합니다. 사전 승인된 선의의 보안 연구원으로 등록하고 차량을 연구 등록 차량으로 등록하려면 VulnerabilityReporting@tesla.com으로 요청을 제출하시기 바랍니다.
차량 또는 에너지 제품
Tesla는 모든 문제를 보상하는 플랫폼으로 Bugcrowd를 사용하고 있지만, 차량 및 제품 관련 문제는 PGP 키를 사용하여 중요한 정보가 포함된 보고서를 암호화해 VulnerabilityReporting@tesla.com으로 직접 보고해 주시기 바랍니다. 지원 범위를 벗어난 결과 목록을 보려면 Bugcrowd를 방문하시기 바랍니다.
타사 버그
버그 바운티 프로그램에 보고한 문제가 타사 라이브러리, 외부 프로젝트 또는 다른 공급업체에 영향을 주는 경우 Tesla는 연구원과 추가 논의 없이 문제의 세부 정보를 해당 당사자에게 전달할 권리가 있습니다. 이 과정을 통해 연구원과 협력하고 소통하기 위해 최선을 다하겠습니다.
책임감 있는 공개 지침
Tesla는 합법적인 보고서를 조사하고 모든 취약점을 신속하게 시정하기 위해 최선을 다할 것입니다. 책임감 있는 보고를 장려하기 위해 Tesla는 귀하가 다음 책임감 있는 공개 지침을 준수하는 경우 귀하에 대한 법적 조치를 취하거나 법 집행 기관에 귀하를 조사를 의뢰하지 않을 것입니다.
- 취약점을 재현하고 검증하는 데 필요한 정보와 개념 증명 (POC)을 포함하여 취약점에 대한 세부 정보를 제공합니다. 연구 등록 차량에 존재하지 않는 기능과 관련된 모든 취약점은 취약점을 식별한 후 168시간 0분 (7일) 이내에 보고해야 합니다.
- 개인 정보 침해, 데이터 파괴 및 Tesla 서비스의 중단 또는 저하를 방지하기 위해 선의의 노력을 기울여야 합니다.
- 본인의 소유가 아닌 데이터를 수정하거나 액세스하지 않습니다.
- 정보를 공개하기 전에 Tesla가 문제를 해결할 수 있도록 적절한 시간을 제공해야 합니다.
- 본인이 소유하고 있거나 접근 권한이 있는 차량만 변경합니다.
- 차량의 안전을 훼손하거나 다른 사람을 안전하지 않은 상태에 노출하지 않습니다.
- 보안 연구는 인포테인먼트 바이너리, Gateway 바이너리, Tesla에서 개발한 ECU 및 에너지 제품의 보안 메커니즘으로 제한됩니다.
의심의 소지를 없애기 위해
- 귀하 (사전 승인된 선의의 보안 연구원)가 선의의 보안 연구를 통해 귀하의 연구 등록 차량을 업데이트하거나 "재점멸(reflash)"해야 하는 소프트웨어 문제를 선의의 행위로 인해 야기하는 경우, Tesla는 OTA 업데이트를 통해 연구 등록 차량에서 Tesla 소프트웨어를 업데이트하거나 "재점멸(reflash)"하기 위해 합당한 노력을 기울이고 서비스 센터에서 표준 서비스 장치를 사용하여 차량 소프트웨어를 복원하거나 적절하다고 판단되는 기타 조치를 제공합니다. Tesla는 소프트웨어나 다른 지원에 대한 완전한 재량권을 갖고 있으며 이는 제한된 횟수에 불과할 수 있습니다. Tesla의 지원은 귀하에 의해 발생하는 본인 부담 비용 (예: 견인)으로 확대되지 않습니다. Tesla는 언제든지 사전 승인된 선의의 연구원당 서비스 요청 수를 제한하고 연구 등록 차량의 등록을 취소할 수 있는 권리를 지닙니다.
- Tesla는 연구 등록 차량 또는 에너지 제품의 컴퓨터에 액세스하기 위해 이 정책을 준수하는 사전 승인된 선의의 보안 연구원이 컴퓨터 사기 및 남용방지법("CFAA")에 따라 승인 없이 컴퓨터에 액세스하지 않았거나 권한을 초과하지 않은 것으로 간주합니다.
- Tesla는 연구원이 다른 코드 또는 바이너리에 액세스하지 않는 한, 보안 메커니즘을 우회하는 사전 승인된 선의의 보안 연구원에 대해 디지털 밀레니엄 저작권법("DMCA")에 따라 저작권 침해 주장을 제기하지 않습니다.
- 소프트웨어 수정으로 인한 차량 손상은 Tesla에 의해 보상되지 않음에도 불구하고, Tesla는 선의의 보안 연구원이 선의의 보안 연구를 수행한 결과로 인해 보안 등록 차량의 보증이 무효화되더라도 해당 행위를 소프트웨어 변경으로 고려하지 않습니다.