Fiat Chrysler Automobiles ha lanciato un programma di bug bounty per individuare i difetti di sicurezza informatica nei suoi prodotti. Il programma è focalizzato sui veicoli connessi di FCA, compresi i sistemi interni e i servizi e le applicazioni esterni a cui si connettono.

La mossa segue la violazione di una Jeep Cherokee, avvenuta lo scorso anno, quando alcuni ricercatori di sicurezza sono riusciti a prendere il controllo remoto del veicolo. L’episodio portò al richiamo di 1,4 milioni di veicoli.

Fiat Chrysler si sta muovendo abbastanza aggressivamente anche in materia di veicoli autonomi. All’inizio di quest’anno ha infatti annunciato lo sviluppo congiunto di un minivan a guida autonoma con il Google Self-Driving Car Project di Alphabet.

Il programma bug bounty offre ricompense comprese tra 150 a 1.500 dollari per un bug. Si tratta di piccole cifre rispetto a quanto offerto da Google e Facebook in programmi simili. L’iniziativa, tuttavia, riflette la preoccupazione delle case automobilistiche che, mentre puntano a integrare più automazione e connettività nei loro veicoli, devono anche proteggerli da possibili attacchi di hacker malintenzionati.

Vogliamo incoraggiare i ricercatori di sicurezza indipendenti a entrare in contatto con noi e condividere ciò che hanno trovato, in modo che possiamo risolvere le potenziali vulnerabilità prima che diventino un problema per i nostri clienti”, ha dichiarato Tito Melnyk, senior manager per l’architettura di sicurezza di FCA US.

I ricercatori e gli sviluppatori che intendono partecipare al programma di FCA devono attenersi alcune linee guida. Tra queste c’è l’obbligo di fornire tutti i dettagli della vulnerabilità scoperta, incluse le informazioni necessarie per riprodurre e convalidare il problema producendo un proof of concept.

I ricercatori devono anche “impegnarsi in buona fede per evitare violazioni della privacy, distruzione di dati, l’interruzione o la degradazione dei nostri servizi”, spiega FCA, “e non modificare, accedere o conservare i dati che non appartengono a loro”.
Anche Tesla Motors ha introdotto un programma bug bounty tramite Bugcrowd, e attualmente offre ricompense tra i 25 e i 10.000 dollari a bug.