转载

特斯拉悬赏1000美元捉BUG

　　*来源：forbes，TECH2IPO/创见编辑后发布，转载请保留此信息

　　近日，特斯拉公司正式在 Bugcrowd 网站上开启了针对自己网页的 BUG 悬赏项目。每找到一个该公司网站隐患漏洞，他们就向发现者支付 25 到 1000 美元不等的奖金。不过目前这一项目仅针对网站展开，找到特斯拉汽车安全隐患的人并没有奖金可以拿。

　　同样是「捉拿」网页漏洞，Facebook 给出的最高奖金额为 3.3 万美元，而谷歌的最高奖金额则为 2.2 万美元。相比于这两家公司的同类型 BUG 悬赏项目，特斯拉公司开出的 1000 美元赏金实在是少的可怜。不过，特斯拉公司网站的规模和内容含量的确不能和这两家互联网巨头相比。

　　强调互联网安全的人们纷纷对特斯拉和其 CEO 埃隆·马斯克（Elon Musk）表示祝贺，他们很欣慰的看到这家电动汽车制造商愿意与无恶意的黑客一同合作。此前，特斯拉公司与 Hall of Fame 开展了一项多少有些组织混乱的 BUG 悬赏项目。现在该公司更希望用更为正规认真的流程对待网页漏洞，保证信息安全。

　　特斯拉公司在 Bugcrowd 网站在宣传中说：「我们将与 Bugcrowd 一同合作，致力于核实、重现经过合法程序上报的网页漏洞，并对这些安全问题作出相应。我们鼓励 Bugcrowd 网站中所有支持互联网安全的人士参与到我们的上报网页安全漏洞过程中来。」

　　根据规定，BUG 悬赏项目参与者仅能针对特斯拉公司网站（tesla.com）的漏洞进行上报，而且必须「在将漏洞信息向社会公开之前给予该公司合理的时间纠正错误，解决问题」。他们还列出了一份长长的清单，写明了哪些类型的问题不在报告范围之内以及哪些较小的问题在报告范围之内。

　　该公司表示，任何相信自己发现了特斯拉汽车安全漏洞的人应该给以邮件形式通知他们相关部门（vulnerability@teslamotors.com），而不是去 Bugcrowd 网站进行报告。不过，我们还不清楚特斯拉公司会如何奖励那些发现了电动汽车及其他产品（比如该公司最近发布的超级电池）漏洞的人。我们甚至不清楚特斯拉公司会不会给这些人提供奖励。

　　此前特斯拉公司已经对外公开了他们汽车的一些问题，并在随后修复了这些漏洞。不过他们并没有在公司的网站上发布信息指明是哪些研究人员找到了这些漏洞。据悉，中国的奇虎 360 公司发现了其中一个漏洞，而这个漏洞也被政府机构备案资料记录了下来。没有任何一个研究人员或者团体因为找到了特斯拉汽车的漏洞而获得奖励，但是奇虎 360 公司却因为赢得了一个非官方的「破解特斯拉汽车竞赛」而获得 1 万美元奖金。

　　特斯拉公司和汽车产业都不愿意开启汽车安全弱点 BUG 悬赏项目，因为他们担心这会给人们提供巨大的激励，能鼓励人们努力破解汽车的安全系统。但是这其实是一件好事，对公司本身和驾驶员而言都受益颇多。研究人员去年多次强调目前的汽车存在缺陷，但是汽车制造业的大型公司一直对数字安全问题缄口不言。总体而言，开启汽车安全弱点 BUG 悬赏项目是一个重要标志，这意味着特斯拉公司和汽车产业都迈出了重要的一步。

　　除了特斯拉公司之外，大部分汽车制造商一直都在同破解攻击自己产品的黑客们作斗争。在汽车联盟（Auto Alliance）和通用汽车公司的领导下，汽车制造商多次尝试维护自己起诉状告破解自己汽车安全代码的人的权利，而黑客们则一直用《美国千禧年数字版权法案》中的豁免条款做挡箭牌。

　　IndependentSecurity Evaluators 咨询公司执行合伙人泰德·哈林顿（Ted Harrington）相信，汽车制造商们应该采用更多措施来保护人们的生命安全。「安全研究领域的问题后果都很严重，因为这涉及到人们的生命安全。保护联网汽车的安全比保护数据更重要，因为这就是保护生命。从这个角度来看，汽车制造商应该尽最大努力保证产品系统安全以抵御最厉害敌人的攻击。」

　　泰德还说：「为了全面理解和降低风险，汽车的系统必须经过持续彻底的人工白箱安全评估。汽车的系统关系到人们的生命，因此生产联网汽车的制造商应该重视系统安全评估工作，将打造坚实可靠的系统看成影响业务发展的关键性举措。」

　　据消息人士透露，特斯拉公司计划在今年八月的 Defcon 黑客大会上对外开放自己的汽车或者组件。不过该公司否认了这一说法。

　　无论特斯拉公司如何开展安全项目，他们目前都至少迈出了一步——保护自己网站上的消费者信息。不过这一举动效果如何还有待观察。

正文到此结束