產品安全

Tesla 重視安全研究人員為提高產品和服務的安全性而作出的努力。我們致力與這個群體合作,共同驗證、重現和回應所報告的合理漏洞。我們鼓勵這個群體參與我們負責任的報告程序。如欲註冊為經預先核准的誠實安全研究人員,並將車輛註冊為註冊研究用車,請提交申請至 VulnerabilityReporting@tesla.com

For vehicle or energy products

雖然我們使用 Bugcrowd 平台來向經報告的所有問題給予獎勵,但請將車輛和產品相關的問題直接報告至 VulnerabilityReporting@tesla.com,並使用我們的 PGP 密鑰加密包含敏感資訊的報告。

第三方錯誤

若向錯誤獎金計劃報告的問題影響到第三方資料庫、外部項目或其他供應商,則 Tesla 會保留向該方轉述問題詳細資訊的權利,而且不會與相關研究人員進一步商議。在此過程中,我們將會盡最大努力與研究人員協調和溝通。

負責任的披露準則

我們將會調查合理報告,並全力以赴儘快修復任何漏洞。為了鼓勵負責任的報告行為,我們既不會對你採取法律行動,也不會要求執法機關調查你,但前提是你遵守以下負責任的披露指引:

  • 提供漏洞的詳細資訊,包括重現和驗證漏洞所需的資訊以及概念驗證 (POC)。對於任何涉及註冊研究用車未裝載功能的漏洞,請務必在識別漏洞後的 168 個小時零分鐘 (7 天) 內報告。
  • 請盡最大努力避免侵犯私隱、破壞資料、干擾我們的服務或將其降級。
  • 請勿隨意修改或存取不屬於你的資訊。
  • 請先給予 Tesla 適當的時間修正問題,然後再公開任何資訊。
  • 僅更改你擁有或有權使用的車輛。
  • 請勿損害車輛的安全性或將他人置於危險的處境中。
  • 安全研究只限於資訊娛樂二進位檔、網關二進位檔、由 Tesla 研發的電子控制單元 (ECU) 及能源產品的安全機制。


為免存疑,

  • 若由於你 (作為經預先核准的誠實安全研究人員) 的誠實安全研究引發軟件問題,而且此問題導致你的註冊研究用車需要更新或「重新刷新」,則出於好意,Tesla 須作出適當的努力,透過無線更新的方式來更新或「重新刷新」註冊研究用車的 Tesla 軟件,使用標準服務工具或採取我們認為適當的行動,在服務中心提供支援以還原車輛軟件。Tesla 可全權自行斟酌決定將提供的軟件或其他輔助服務,而且提供次數可能有所限制。Tesla 的支援服務不包括你承擔的任何自付費用 (例如,拖車服務)。Tesla 保留限制每位經預先核准的誠實研究人員可申請服務的次數的權利,以及隨時將註冊研究用車取消註冊的權利。
  • Tesla 認為,存取註冊研究用車或能源產品上的電腦時遵守此政策且經預先核准的誠實安全研究人員,根據《電腦欺詐和濫用法案》(CFAA) 的規定,在存取電腦時並非未經授權或超出授權範圍。
  • 對於規避安全機制但經預先核准的誠實安全研究人員,Tesla 將會不按照《數碼千禧年版權法案》(「DMCA」) 對其提出侵犯版權的訴訟,但前提是該研究人員未存取任何其他代碼或二進位檔。
  • 如果因誠實安全研究人員的誠實安全研究而導致註冊研究用車的軟件有所變更,Tesla 不會認為此等變更會導致註冊研究用車的保養期失效;但是,由於任何軟件變更而導致的任何車輛損壞均不包括在 Tesla 車輛保養範圍內。