2024T-EDGE文章详情顶部

汽车bug赏金计划

钛度号
汽车公司依靠黑客替自己公司查处安全漏洞。

图片来源@视觉中国

图片来源@视觉中国

钛媒体注:本文来源于微信公众号汽车商业评论(ID:autobizreview),作者 | 张鸥,编辑 | 周洲,钛媒体经授权发布。  

在我们不太熟悉的黑客世界中,实际上存在着派别,最常见的三大类被称为黑帽黑客、灰帽黑客以及白帽黑客。

黑帽黑客是一种在未经允许的情况下擅自入侵他人系统,借此获取利益或者进行破坏的黑客,也是最为人熟知的一类;灰帽黑客有时可能会违反法律或道德标准,但不具有黑帽黑客典型的恶意意图;白帽黑客又称为道德黑客,他们利用黑客技术识别硬件、软件或网络安全漏洞,并且尊重法律规则。

而这些白帽子,便是正在与各行各业进行合法交易的一群人。

根据以色列网络安全公司Upstream的数据,与2018年相比,2022年公开报道的汽车网络攻击数量猛增239%。由于汽车在操作、信息娱乐、自动驾驶和安全系统方面越来越依赖软件、传感器和计算机,网络安全已成为该行业的一个主要问题。

因此,汽车公司们俨然成为了白帽黑客的新客户群。他们寻找车辆的安全漏洞并通知汽车制造商和供应商。然而到目前为止,这个行业支付给黑客们的报酬比其他行业要少得多。

2022年,白帽黑客先后通报了宝马、法拉利、福特、捷豹路虎、梅赛德斯-奔驰、保时捷和丰田的安全漏洞,包含多个车型与系统的客户信息、后端操作。他们还发现了SiriusXM远程信息处理服务的缺陷,这些缺陷造成本田、现代和日产汽车出现问题。

帮助经销商清除车辆个人数据的Privacy4Cars公司的创始人兼首席执行官安德烈·阿米科(Andrea Amico)认为,随着汽车制造商扩大软件服务,未来几年甚至会有更多的消费者数据有可能被曝光。他说:“抱着恶意想法的黑客们正在虎视眈眈。”

交保护费是必经之路

2016年2月,特斯拉与Bugcrowd公司联合启动了漏洞赏金计划,为发现其软件漏洞的黑客提供奖金,金额高达1万美元。同年7月,菲亚特克莱斯勒汽车公司也推出了这一计划,提供500美元到1500美元不等的金额,合作伙伴依旧是Bugcrowd公司。

Bugcrowd成立于2011年,于2019年成为互联网上最大的漏洞赏金和漏洞披露公司之一。

通用汽车同样在2016年开始了漏洞赏金计划,由旧金山的HackerOne公司管理,该公司还协助宝马、福特、Rivian和丰田开展了项目。

由于客户在合同中增加了服务,HackerOne的汽车业务从2021年到2022年跃升了400%。除了漏洞赏金计划,HackerOne还提供漏洞披露、在线系统的渗透测试和其他服务。

底特律韦恩州立大学电气和计算机工程系主任穆罕默德·伊斯梅尔(Mohammed Ismail)表示,汽车行业在网络安全方面落后于其他行业。

伊斯梅尔说:“对于任何新技术,这都是一个非常典型的情况。当Wi-Fi和蓝牙在25年前开始出现的时候,这些技术花了很多年才发展成熟,实现安全连接。”

伊斯梅尔估计,汽车行业还需要大约5年的研发时间去进行试错,才能生产出数百万辆以软件为主并且安全的汽车。

友好的白帽黑客则是帮助该行业实现这一目标的关键群体之一。

梅赛德斯-奔驰汽车和货车公司的IT通信经理卡佳·李森菲尔德(Katja Liesenfeld)在一封电子邮件中说:“使用漏洞赏金平台是引进安全社群知识和专长的一种有效方式。我们不能提供更多关于任何技术细节的信息,因为这些项目是私有的。”

包括福特、捷豹路虎、日产、Stellantis、宝马、保时捷和大众在内,大多数汽车制造商不愿意谈论他们在数字安全方面的花费,本田则表示自己根本没有漏洞赏金计划。

通用汽车公司首席网络安全官兼汽车信息共享和分析中心组织(Auto-ISAC)副主席凯文·蒂尔尼(Kevin Tierney)表示,大多数汽车行业都在积极应对网络安全问题。

Auto-ISAC是一个由汽车制造商组成的团体,他们会分享有关潜在网络威胁、漏洞和事件的信息。

蒂尔尼说:“每个人都在采取大动作,进行大投资。”

最小气的行业

汽车行业在过去一年共支付了483809美元的漏洞赏金,是HackerOne追踪的八个行业中最少的。

互联网部门去年共支付了1310万美元,电信行业支付了470万美元,甚至连政府给的都比汽车公司多,达到了703084美元。

根据HackerOne的一份报告显示,汽车行业平均每次漏洞检查的奖金略高于2000美元。例如,Stellantis与Bugcrowd公司合作,为每个发现的漏洞支付150美元至7500美元不等,在2022年12月-2023年2月期间,平均一次漏洞审查支付的奖金仅为737.5美元。

而汽车行业之外的数字呢?

根据新闻网站SecurityWeek报道,2月份在迈阿密举行的探索工业网络漏洞的会议上,黑客们每发现一个漏洞能获得5000美元至4万美元奖金。

谷歌公司发言人埃德·费尔南德斯(Ed Fernandez)在一封电子邮件中说,2022年,该公司支付的赏金中包括了一笔创纪录的60.5万美元。英特尔公司发言人珍妮弗·福斯(Jennifer Foss)说,自2017年以来,英特尔通过其漏洞赏金计划共支付了410万美元。

在这样悬殊的对比之下,白帽黑客们当然会出现不满,他们中的一些人希望汽车行业加大赏金力度。

2022年底,佛罗里达州萨拉索塔市的黑客伊顿·兹韦雷(Eaton Zveare)攻破了丰田公司的全球供应商管理门户网站,获得了对1.4万个公司电子邮件账户的读写权限、相关的机密文件、项目、供应商排名、评论和其他信息。他通知了丰田,这一问题很快得到了处理。

兹韦雷对丰田的迅速反应十分认可,但他对缺乏金钱补偿感到失望。

他说:“考虑到他们每年赚取的利润,我认为,他们应该拨出一些给安全部门,用来奖励研究人员。”

佛罗里达州清水市网络安全咨询和培训公司KnowBe4的网络安全顾问罗杰·格莱姆斯(Roger Grimes)表示,如果汽车制造商希望安全研究人员帮助寻找缺陷,他们需要提供足够的奖励。

他说:“要找聪明人来帮助你寻找和消除漏洞,但是不愿意花钱,这是非常愚蠢的行为。”

如果长期吝啬下去,白帽黑客可能会感到气馁,并将他们的努力转向有高回报的行业。更糟糕的是,他们或许会将自己的技能卖给针对汽车行业的意图不轨的人。

格莱姆斯预计,黑客攻击将成为汽车制造商们需要长期处理的问题,迫使他们反复检测,反复改进,确保安全和防盗系统尽可能地完美。

HackerOne首席安全技术专家凯拉·恩德科勒(Kayla Underkoffler)在一封电子邮件中说:“汽车是日常生活中的一个重要组成部分,如果安全问题没有经过一次又一次的测试,后果可能是灾难性的,我们需要最好的头脑来研究解决方案。”

本文系作者 精选 授权钛媒体发表,并经钛媒体编辑,转载请注明出处、作者和本文链接
本内容来源于钛媒体钛度号,文章内容仅供参考、交流、学习,不构成投资建议。
想和千万钛媒体用户分享你的新奇观点和发现,点击这里投稿 。创业或融资寻求报道,点击这里

敬原创,有钛度,得赞赏

赞赏支持
发表评论
0 / 300

根据《网络安全法》实名制要求,请绑定手机号后发表评论

登录后输入评论内容

AWARDS-文章详情右上

快报

更多

19:25

中美政党对话举行:中美双方应保持接触沟通,妥善管控分歧

19:10

总规模突破160亿,沪市70余家公司获回购增持再贷款支持

18:58

中信建投:市值管理指引正式稿发布,利好建筑央国企价值发现

18:37

地方政府置换隐性债务正在批量行动,五地开始“实操”发行超2000亿元

18:37

南宁百货:股东南宁富天拟减持不超过0.73%公司股份

18:30

上海再现“千人摇”,552套10万+豪宅开盘即售罄

18:16

近20家A股上市公司本周披露并购重组最新公告

18:14

平安证券:中期继续建议关注政策支持和产业转型方向

18:14

光大证券:A股短期波动不改中长期趋势

18:12

*ST新宁:申请向特定对象发行股票获深交所审核通过

18:11

光伏企业凛冬上市难:年内15家终止IPO,剩余排队不足20家

17:52

本周35家上市公司公告披露回购增持再贷款相关情况

17:48

银河证券:当前A股市场估值处于历史中等水平,展望后市A股有望震荡上行

17:47

俄称集中打击乌关键能源基础设施及军工企业

17:36

合创汽车裁撤上海分公司所有员工,拖欠被裁员工赔偿金

17:35

招商证券:随着中小风格补涨到位,大盘、质量风格有望在最后两个月重新回归

17:23

金发拉比:公司以现金方式受让珠海韩妃和中山韩妃各51%股权并对其实施控股

17:15

明年起大中型客货车驾驶证申请年龄上限拟延长至63周岁

17:03

海亮股份:公司铜管产品出口受退税调整影响很小

16:50

万丰股份:特定股东宁波怡贤拟减持不超3%公司股份

扫描下载App