Produktsicherheit

Tesla schätzt die Arbeit von Sicherheitsexperten, die die Sicherheit unserer Produkt- und Service-Angebote stetig verbessern. Wir haben uns vorgenommen, eng mit unserer Community zusammenzuarbeiten, um berechtigte Meldungen in Bezug auf Schwachstellen zu prüfen und nachzuvollziehen, sowie darauf zu reagieren. Wir möchten unsere Community darin bestärken, an unserem verantwortungsvollen Meldeverfahren mitzuwirken. Um sich als vorab zugelassener Sicherheitsforscher zu registrieren und ein Fahrzeug als zu Forschungszwecken angemeldetes Fahrzeug anzumelden, senden Sie eine Anfrage an VulnerabilityReporting@tesla.com.

Für Fahrzeuge oder Energieprodukte

Obwohl die Bugcrowd-Plattform als Bonussystem für alle Problemlösungen genutzt wird, melden Sie bitte Fahrzeug- und produktbezogene Probleme direkt an VulnerabilityReporting@tesla.com, indem Sie unseren PGP-Schlüssel verwenden, um Berichte, die sensible Informationen enthalten, zu verschlüsseln. Bitte besuchen Sie unsere Bugcrowd-Seite, um eine Liste der Ergebnisse außerhalb des Anwendungsbereichs zu erhalten.

Drittanbieter-Fehler

Wenn Probleme, die an unser Bug Bounty-Programm gemeldet werden, eine Bibliothek eines Drittanbieters, ein externes Projekt oder einen anderen Anbieter betreffen, behält sich Tesla das Recht vor, die Details des Problems ohne weitere Diskussion mit dem Sicherheitsforscher an diese Partei weiterzuleiten. Wir werden unser Bestes tun, um diesen Prozess zu koordinieren und mit den Forschern zu kommunizieren.

Richtlinien zur verantwortungsvollen Aufdeckung von Sicherheitslücken

Wir untersuchen berechtigte Meldungen und unternehmen alle Anstrengungen zur schellen Behebung von Schwachstellen. Um ein verantwortungsvolles Meldeverfahren zu fördern, haben wir uns dazu verpflichtet, keine rechtlichen Schritte gegen Sie vorzunehmen oder Strafverfolgungsbehörden einzuschalten, wenn Sie die folgenden Richtlinien zur verantwortungsvollen Aufdeckung von Schwachstellen (Responsible Disclosure Guidelines) einhalten:

  • Sie geben detaillierte Informationen über die Schwachstelle an, darunter alle Infos, die benötigt werden, um die Schwachstelle nachzuvollziehen und zu prüfen und übermitteln uns einen Proof of Concept (POC). Jede Schwachstelle, die eine Funktionalität betrifft, die nicht auf einem zu Forschungszwecken registrierten Fahrzeug vorhanden ist, muss innerhalb von 168 Stunden und null Minuten (7 Tagen) nach Feststellen der Schwachstelle gemeldet werden.
  • Sie bemühen sich nach Treu und Glauben, Datenschutzverletzungen, die Vernichtung von Daten und die Unterbrechung oder Verschlechterung unserer Services zu vermeiden.
  • Sie ändern keine Daten, die Ihnen nicht gehören, und greifen auch nicht auf solche Daten zu.
  • Sie geben uns angemessen Zeit für eine Behebung des Problems, bevor Sie mit Informationen an die Öffentlichkeit gehen.
  • Verändern Sie nur Fahrzeuge, die Ihnen gehören oder auf die Sie zugriffsberechtigt sind.
  • Sie dürfen die Sicherheit des Fahrzeugs nicht gefährden und dürfen andere nicht in gefährliche Situationen bringen.
  • Die Sicherheitsforschung beschränkt sich auf die Sicherheitsmechanismen der Infotainment-Binärdateien, der Gateway-Binärdateien, der von Tesla entwickelten ECUs und der Energieprodukte.


Zur Klarstellung wird angemerkt:

  • Falls Sie (ein vorab zugelassener in gutem Glauben handelnder Sicherheitsforscher) durch Ihre in gutem Glauben durchgeführte Sicherheitsforschung ein Softwareproblem verursachen, das es erforderlich macht, dass Ihr zu Forschungszwecken registriertes Fahrzeug aktualisiert oder „reflashed“ wird, unternimmt Tesla angemessene Anstrengungen, um die Tesla-Software auf dem zu Forschungszwecken registrierten Fahrzeug zu aktualisieren oder per „Reflash“ zu starten, indem ein Over-the-Air-Update durchgeführt wird, das Unterstützung in einem Servicecenter bietet, um die Software des Fahrzeugs mithilfe unserer Standard-Servicetools wiederherzustellen, oder indem andere Maßnahmen ergriffen werden, die wir als angemessen erachten. Es liegt im Ermessen von Tesla, welche Software oder sonstige Unterstützung zur Verfügung gestellt wird, und dies möglicherweise nur für eine begrenzte Anzahl von Gelegenheiten. Die Unterstützung von Tesla erstreckt sich nicht auf Auslagen (z. B. Abschleppkosten), die Ihnen entstanden sind. Tesla behält sich das Recht vor, die Anzahl der Serviceanfragen pro vorab zugelassenem, in gutem Glauben handelndem Sicherheitsforscher zu begrenzen und die Registrierung eines zu Forschungszwecken registrierten Fahrzeugs jederzeit aufzuheben.
  • Tesla geht davon aus, dass ein vorab zugelassener Sicherheitsforscher, der diese Richtlinie einhält, um auf einen Computer in einem zu Forschungszwecken registrierten Fahrzeug oder Energieprodukt zuzugreifen, nicht ohne Genehmigung auf einen Computer zugegriffen hat bzw. den autorisierten Zugriff im Rahmen des Computer Fraud and Abuse Act (Gesetz gegen Computerbetrug und -missbrauch, CFAA) nicht überschritten hat.
  • Tesla erhebt keine Klage wegen Urheberrechtsverletzung gemäß dem Digital Millennium Copyright Act („DMCA“) gegen einen vorab genehmigten, in gutem Glauben handelnden Sicherheitsforscher, der den Sicherheitsmechanismus umgeht, solange der Forscher nicht auf andere Codes oder Binärdateien zugreift.
  • Tesla geht nicht davon aus, dass Softwareänderungen, die von einem in gutem Glauben handelnden Sicherheitsforscher an einem zu Forschungszwecken registrierten Fahrzeug vorgenommen wurden, zum Erlöschen der Fahrzeuggarantie des zu Forschungszwecken registrierten Fahrzeugs führen, ungeachtet dessen, dass Schäden am Fahrzeug, die aus Softwareänderungen resultieren, nicht von Tesla im Rahmen der Fahrzeuggarantie abgedeckt werden.