克萊斯勒汽車祭出漏洞懸賞獎金，仿效軟體公司資安作法來抓漏

現在不只是科技或軟體公司會為了抓軟體漏洞祭出懸賞獎金，就連傳統汽車大廠，也開始因為資安的重要性與日俱增，而開始學習軟體公司的作法。例如，美國汽車大廠飛雅特克萊斯勒（Fiat Chrysler）近日就發起了一項汽車漏洞懸賞計畫，廣邀資安研究人員或白帽駭客，共同挖掘出Fiat Chrysler汽車的軟體漏洞，還祭出最高1,500美元（相當於4萬5千元新臺幣）的獎勵措施。

這項汽車漏洞懸賞專案是由Fiat Chrysler美國分公司針對自家連網汽車推出的抓漏洞計畫，並借助BugCrowd的應用安全測試平臺來展開抓漏行動。Bugcrowd是一家漏洞賞金項目組織商，以群眾外包（Crowdsourcing）方式，來引入更多資安高手加入平臺來抓漏，並會依據提交產品安全漏洞的重大程度，來給予提報者獎勵。Bugcrowd宣稱，目前加入這個抓漏平臺的資安研究員已有28,000人。

Fiat Chrysler這次列出的汽車抓漏洞項目，主要涵蓋了Fiat Chrysler連網汽車的內部系統，以及所有與汽車相連的外部服務和應用。Fiat Chrysler指出，每抓到一個Fiat Chrysler汽車軟體漏洞，都可領到150美元到1,500美元不等的獎勵補助，並也強調對於這些抓到汽車漏洞的資安研究員或白帽駭客，將不會採取任何法律行動，事後也不會要求資安人員必須要參與協助調查。

Fiat Chrysler汽車美國分部安全架構資安資深經理 Titus Melnyk表示，透過這次的汽車抓漏計畫，希望能夠拉近資安研究員與汽車車廠間的距離，並且可以經由分享他們所發現的各種潛藏威脅的汽車漏洞，來幫助車廠盡速將漏洞修補，以降低汽車被駭的風險。

Fiat Chrysler去年7月才因為資安漏洞而緊急召修在美國售出的140萬輛Jeep Cherokee車款，而隋著接下來越來越多新出廠的Fiat Chrysler汽車車款都配備有4G連網的功能，甚至今年底前將會有裝載Google無人駕駛系統的Fiat Chrysler自動駕駛汽車上路，也使得Fiat Chrysler開始加強汽車資安。

儘管，Fiat Chrysler這次提供的抓漏奬勵金額，連軟體或科技大廠的10分之1都還不到，例如Google去年單筆抓漏最大獎金高達15萬美元，但從Fiat Chrysler大動作地展現要抓漏的決心，甚至不惜將自家內部汽車系統或應用，開放提供外界進行安全測試，也反映出汽車業者也開始像軟體公司一樣重視汽車資安，甚至將資安併入成為未來汽車安全測試的重要環節。

Fiat Chrysler以外，電動車業者Tesla目前也同樣在Bugcrowd平臺推出有汽車抓漏獎勵措施，並針對每個漏洞提供25美元到10,000美元的獎勵。而今年1月，通用汽車（GM）也在白帽駭客和車廠間建立一個資安聯繫的管道，可以即時通報他們發現的潛在汽車安全瑕疵或重大漏洞，讓車廠可以盡速修補。