5 января 2016 года General Motors стал первым автопроизводителем после Tesla Motors, запустившим собственную программу bug bounty. Автоконцерн тихо, без лишнего шума, заключил партнерское соглашение с HackerOne и теперь призывает исследователей поискать уязвимости в своих продуктах. Денежных вознаграждений за баги, впрочем, пока не обещают.

Представители General Motors сообщают, что пока нет списка конкретных продуктов и сервисов, участвующих в bug bounty. Если исследователи в области информационной безопасности захотят поделиться любой информацией о каких-либо багах, GM будет рад сотрудничеству.

Денежного вознаграждения за обнаруженные уязвимости автопроизводитель пока не предлагает. General Motors сначала хочет оценить первые результаты работы программы, а уже потом браться за ее дальнейшее развитие и денежные призы.

Зато автоконцерн опубликовал свод весьма жестких правил, о которых исследователям стоит помнить, если они не хотят проблем с законом. Так, эксперты ни в коем случае не должны причинять какой-либо вред GM, пользователям продукции автопроизводителя или кому-либо еще. В ходе изысканий нельзя компрометировать личные данные и безопасность пользователей GM или сервисов автоконцерна. И, разумеется, нельзя нарушать никаких законов. Также General Motors оговаривает, что раскрывать информацию о найденных багах нельзя вплоть до их полного исправления. В противном случае, исследователю грозит судебный иск.

Известные «автохакеры» – Чарли Миллер (Charlie Miller) и Крис Валасек (Chris Valasek), летом 2015 года наделавшие много шума, удаленно взломав Jeep, уже раскритиковали инициативу General Motors. Исследователи пишут в Twitter, что программа вознаграждений без самих вознаграждений, это несколько странно, хотя начинание, в целом, хорошее. Правила bug bounty показались Миллеру и Валасеку чрезмерными, особенно пункт о неразглашении информации и тот факт, что автоконцерн готов судиться с исследователями, которые обнародуют данные раньше срока.

Напомню, что минувшим летом известный исследователь Сэми Камкар (Samy Kamkar) продемонстрировал на конференции DefCon удаленный взлом системы OnStar RemoteLink, которая широко применяется в автомобилях General Motors. OnStar RemoteLink позволяет владельцу авто удаленно разблокировать машину и даже завести двигатель, используя официальное приложение.

Фото: AP  



Оставить мнение