產品安全

Tesla values the work done by security researchers in improving the security of our products and service offerings. We are committed to working with this community to verify, reproduce, and respond to legitimate reported vulnerabilities. We encourage the community to participate in our responsible reporting process. To register as a pre-approved, good-faith security researcher and register a vehicle as a research-registered vehicle, please submit requests to VulnerabilityReporting@tesla.com.

對於車輛或能源產品

While we use Bugcrowd as a platform for rewarding all issues, please report vehicle and product related issues directly to VulnerabilityReporting@tesla.com, using our PGP key to encrypt reports containing sensitive information.

第三方錯誤

如果向我們的錯誤獎金計劃報告的問題會影響第三方程式庫、外部專案或其他供應商,Tesla 保留將問題詳細資料轉送給該相關方且無需和研究人員進一步討論的權利。在此過程中,我們將盡最大努力和研究人員進行協調和溝通。

負責任的披露準則

我們將調查合理報告,並盡一切努力快速更正任何漏洞。為了鼓勵盡責舉報,我們不會對您採取法律行動,也不會要求執法機構對您進行調查,前提是您遵守以下的「盡責揭露指導方針」:

  • 提供漏洞詳細資料,包括重製和驗證漏洞所需的資訊以及概念驗證 (POC) 。必須在識別漏洞的 168 小時零分鐘 (7 天) 內報告涉及未隱含在研究註冊的車輛上的功能的任何漏洞。
  • 盡最大的誠信努力避免侵犯隱私權、破壞資料,和中斷或降級我們的服務。
  • 不修改或存取不屬於您的資料。
  • 先讓 Tesla 有合理的時間更正問題,然後再公佈任何資訊。
  • 僅更改您擁有或您有權使用的車輛。
  • 不洩漏車輛的安全資訊或者使他人處於不安全的狀態。
  • 安全研究僅限於資訊娛樂系統執行檔、閘道執行檔、閘道執行檔、Tesla 開發的 ECU 和能源產品的安全機制。

為避免疑義,

  • 如果您 (預先核准的誠信安全研究人員) 的誠信安全研究引起軟體問題並導致需要更新或「重新燒錄」您的研究註冊的車輛,Tesla 將出於好意並做出合理的努力,利用空中下載更新來更新或「重新燒錄」研究註冊的車輛上的 Tesla 軟體,或者在服務中心提供協助,並使用我們的標準服務工具或者我們認為適當的其他動作來回復車輛的軟體。Tesla 對於將要提供的軟體或者其他協助具有完全的自由裁量權,而且有次數限制。Tesla 的支援不涵蓋任何由您支付的費用 (例如,車輛拖吊)。Tesla 保留權利限制對每位預先核准的誠信研究人員提供服務要求的次數,以及可隨時取消註冊研究註冊的車輛的權利。
  • Tesla 認為,遵守本政策存取研究註冊的車輛或能源產品上的電腦的預先核准的誠信安全研究人員,不是電腦詐欺及濫用法案 (CFAA) 之下的非未經授權或超過授權限度存取電腦。
  • 只要不存取任何其他程式碼或執行檔,Tesla 便不會根據數位千禧年著作權法 (DMCA) ,對規避安全機制的預先核准的誠信安全研究人員提起侵犯著作權訴訟。
  • Tesla 不會將誠信的安全研究人員執行的誠信的安全研究造成變更安全註冊的車輛的軟體,視為導致安全註冊的車輛的車輛保固失效,但根據車輛保固,Tesla 並不負責任何軟體修改所導致的車輛損壞。

Tesla Security Researcher Hall of Fame

Tesla appreciates and wants to recognize the contributions of security researchers. If you are the first researcher to report a confirmed vulnerability, we will list your name in our Hall of Fame (unless you would prefer to remain anonymous). You may also be considered for an award if you are the first researcher to report one of the top 3 confirmed vulnerabilities in a calendar quarter. You must comply with our Responsible Disclosure Guidelines (above) to be considered for our Hall of Fame and top 3 awards.

2018 UnicornTeam Jun Li (@bravo_fighter), Qing Yang (@Ir0nSmith), Yingtao Zeng, Chaoran Wang
2017 Keen Security Lab Tencent for CVE-2017-9983 and CVE-2017-6261
2016 Keen Security Lab Tencent
  Skygo Team,
USSlab
Qihoo360,
Zhejiang University
2014 Eusebiu Blindu @testalways
  Muhammed Gazzaly @gazly
  Jianhao Liu Qihoo 360 Adlab
  Jiaheng Wang Zhejiang University
  Yanjing Wu Zhejiang University
  Wenyuan Xu Zhejiang University
  Nitesh Bhatter @nbhatter
2013 Jaime Manteiga  
  Anshuman Bhartiya @anshuman_bh
  Nitin Goplani @nitingoplani88
  Issam Rabhi @yappare
  Ahmad Ashraff  
  Phil Purviance @superevr
  Michael  
  Jon Bitquark Security Research
  Jack "fin1te" W  
  Ch. Muhammad Osama  
  Arsiadi Sriyanto @donrookie
  Nikhil Kumar Srivastava @niksthehacker
  Muhammad Shahmeer
Maads Security
@Shahmeer_Amir
  Olivier Beg @smiegles
  Ashar Javed @soaj1664ashar
  Jay Turla HP Fortify
  Haris Mamoun  
  Mehmet Ince @mmetince