5 января 2016 года General Motors стал первым автопроизводителем после Tesla Motors, запустившим собственную программу bug bounty. Автоконцерн тихо, без лишнего шума, заключил партнерское соглашение с HackerOne и теперь призывает исследователей поискать уязвимости в своих продуктах. Денежных вознаграждений за баги, впрочем, пока не обещают.
Представители General Motors сообщают, что пока нет списка конкретных продуктов и сервисов, участвующих в bug bounty. Если исследователи в области информационной безопасности захотят поделиться любой информацией о каких-либо багах, GM будет рад сотрудничеству.
Денежного вознаграждения за обнаруженные уязвимости автопроизводитель пока не предлагает. General Motors сначала хочет оценить первые результаты работы программы, а уже потом браться за ее дальнейшее развитие и денежные призы.
Зато автоконцерн опубликовал свод весьма жестких правил, о которых исследователям стоит помнить, если они не хотят проблем с законом. Так, эксперты ни в коем случае не должны причинять какой-либо вред GM, пользователям продукции автопроизводителя или кому-либо еще. В ходе изысканий нельзя компрометировать личные данные и безопасность пользователей GM или сервисов автоконцерна. И, разумеется, нельзя нарушать никаких законов. Также General Motors оговаривает, что раскрывать информацию о найденных багах нельзя вплоть до их полного исправления. В противном случае, исследователю грозит судебный иск.
Известные "автохакеры" – Чарли Миллер (Charlie Miller) и Крис Валасек (Chris Valasek), летом 2015 года наделавшие много шума, удаленно взломав Jeep, уже раскритиковали инициативу General Motors. Исследователи пишут в Twitter, что программа вознаграждений без самих вознаграждений, это несколько странно, хотя начинание, в целом, хорошее. Правила bug bounty показались Миллеру и Валасеку чрезмерными, особенно пункт о неразглашении информации и тот факт, что автоконцерн готов судиться с исследователями, которые обнародуют данные раньше срока.
Not as excited for the 'bug bounty' portion of GM's program, but just the fact that they can handle a disclosure and get a fix out is great
— Chris Valasek (@nudehaberdasher) January 8, 2016
I don't like it. It lists rules for researchers to follow but not for automakers. https://t.co/IlgXGzYGVI
— Charlie Miller (@0xcharlie) January 8, 2016
It says if you don't disclose before we say it's ok, we won't sue you. So if you do disclose early, they can sue you https://t.co/IlgXGzYGVI
— Charlie Miller (@0xcharlie) January 8, 2016
Напомню, что минувшим летом известный исследователь Сэми Камкар (Samy Kamkar) продемонстрировал на конференции DefCon удаленный взлом системы OnStar RemoteLink, которая широко применяется в автомобилях General Motors. OnStar RemoteLink позволяет владельцу авто удаленно разблокировать машину и даже завести двигатель, используя официальное приложение.
Фото: AP
