Tesla | Bug Bounty Program

El programa Bug Bounty de la plataforma Tesla se ha integrado con BugCrowd. Como resultado, todas las presentaciones de Tesla Bug Bounty Program deben realizarse para su revisión a través del portal Bugcrowd.

Si bien utilizamos Bugcrowd como plataforma para gestionar todos los reportes, informe directamente de los problemas relacionados con el vehículo y el producto a vulnerability@teslamotors.com, utilizando nuestra clave GPG para cifrar informes que contengan información confidencial.


Dentro del alcance del Programa

Target

Tipo

Producto del que es propietario o está autorizado a testear (Vehículo/PowerWall/etc.)

Hardware

*.tesla.com

Website

*.tesla.cn

Website

*.teslamotors.com

Website

*.tesla.services

Website

Cualquier host verificado que sea propiedad de Tesla Motors Inc. (Dominios/Ip/etc.)

Website

Official Tesla Android apps

Android

Official Tesla iOS apps

iOS

Quedan fuera del alcance

Target

Tipo

shop.eu.teslamotors.com

WebSite

energysupport.tesla.com (puedes reportar vulnerabilidades a bugbounty.zoho.com)

Website

Cualquier dominio adquirido, como maxwell.com

Website

feedback.tesla.com

Website

feedback.teslamotors.com

Website

employeefeedback.tesla.com

Website

ir.teslamotors.com

Website

ir.tesla.com

Website

mkto.teslamotors.com

Website

Cualquier sitio web de terceros alojado por entidades que no sean de Tesla

Website

Cualquier propiedad de SolarCity, incluida *.solarcity.com

Website

Objetivos

  • Aplicaciones web públicas de Tesla.
  • Vulnerabilidades en otras aplicaciones propiedad de Tesla.
  • Los vehículos o problemas relacionados con el producto deben enviarse por correo electrónico para calificar para una recompensa.


No califican para recompensa:

  • Open redirects (a través de encabezados y parámetros).
  • Divulgación de direcciones IPs internas.
  • Archivos y directorios sin información sensible (ejm. README.TXT, CHANGES.TXT, robots.txt, gitignore, etc).
  • Ingeniería social / Phishing.
  • Self XSS.
  • Text injection.
  • Email spoofing (incluído SPF, DKIM, From: spoofing, y visualizaciones similares).
  • Mensajes de error descriptivos (ejm. stack traces, errores de aplicación o servidor, revelación de path).
  • Fingerprinting/revelación pública de servicios.
  • Clickjacking y errores explotables sólo mediante clickjacking.
  • CSRF que no afecta a la integridad de una cuenta (ejm. iniciar o cerrar sesión, formularios de contacto y otros formularios de acceso público).
  • Ausencia de directivas Secure y HTTPOnly en la gestión de cookies (los sistemas críticos pueden estar dentro del alcance).
  • Login o Forgot Password con fuerza bruta, bloqueo de cuenta, o requerimientos de seguridad de contraseña insuficientes.
  • Contenido mixto HTTPS.
  • Nombre de usuario/enumeración de correo electrónico por fuerza bruta/mensajes de error (ejm. Login/Signup/Forgotten password).
    • los casos excepcionales pueden estar dentro del alcance (ejm. capacidad de enumerar direcciones de correo electrónico mediante el incremento de un parámetro numérico).
  • Ausencia de cabeceras HTTP seguras.
  • Erroes de TLS/SSL, incluyendo BEAST BREACH, renegociación insegura, bad cipher suite, certificados caducados ...
  • Denegación de Servicio.
  • Software desactualizado.
  • Uso de un componente vulnerable conocido (casos excepcionales, como proporcionar una prueba de explotación, pueden estar dentro del alcance)
  • Ataques físicos contra las instalaciones/propiedad de Tesla.

Recompensas

Pagamos recompensas que van desde $100 a $15,000.

Las recompensas se fijan de acuerdo con los siguientes criterios:

  • RCE: Hasta $10,000
  • SQLi: $500–$10,000
  • XSS: $100–$1,000
  • CSRF: $100–$500
  • Authentication bypass: Hasta $10,000
  • Horizontal privilege escalation: $500–$3,000
  • Vertical privilege escalation: $500–$10,000
  • Vulnerabilidades relacionadas con vehículos o productos: se analizará caso por caso hasta $15,000 (informar directamente a vulnerability@teslamotors.com)