איך קרה שטסלה העניקה להאקרים שפרצו למנגנון הרכב מכונית כפרס?

טסלה, יצרנית המכוניות החשמליות המתקדמות האמריקנית, גילתה באחרונה שהיא צריכה לנקוט בפעולה כדי לגונן טוב יותר על המערכות שפיתחה. הדברים התחוורו לה לאחר שהמערכת שלה נפרצה. אבל לא רק שלה. היו אלו האקרים שפרצו לתוך מספר מערכות, כחלק מהשתתפות באירוע Pwn2Own 2019 – תחרות פריצה שהתקיימה באחרונה בוונקובר.

בין הפריצות שהדגימו משתתפי התחרות נכללה גם חדירה לדפדפן החדש של מכונית טסלה, מבוסס הכרומיום – מיזם הקוד הפתוח של גוגל – שנכלל במנגנון הטכני של מכונית Tesla Model 3. ההאקרים, שהם מומחי אבטחה, עשו שימוש בבאג JIT לצורך המהלך, ועקב הצלחתם זכו בפרס בגובה 35 אלף דולר וכן בדגם 3 של המכונית החדשנית מתוצרת טסלה.

Pwn2Own היא תחרות פריצה למחשבים שנערכת מדי שנה בכנס האבטחה CanSecWest, כבר משנת 2007. האירוע מנוהלת על ידי "יוזמת יום אפס" (ZDI) של Trend Trend, שהעניקה יותר מ-4 מיליון דולר בפרסים לאורך שנות פעילותה, המתמקדת בתחום הסייבר ואיתור מוקדם של פרצות.

על פי ZDI, צמד ה"האקרים" הזוכים, ריצ'רד זו ואמאט קאם – המכונים גם Fluoroacetate – "ריגשו את הקהל" כאשר נכנסו לרכב, ולאחר מספר דקות הדגימו בהצלחה את המחקר שלהם על דפדפן האינטרנט שנכלל במכונית ה-Model 3 של טסלה.

חשיפת פגיעויות שמזכה בפרסים

באתר של התחרות בישרו היזמים טרם האירוע כי השנה בכנס ייחקרו המשתתפים גם את קטגוריית Automotive החדשה, שתכלול את דגם טסלה 3. "זה נכון. תהיה לנו טסלה מודל 3 באתר, כמטרה בקטגוריית Automotive", כתבו היזמים, שהבהירו כי לכלי הרכב של טסלה יש שישה מוקדים שונים למחקר פריצה.

עוד הובהר באתר כי "טסלה ביסודו של דבר הייתה חלוצת הקונספט של המכונית המחוברות, עם Model S sedan שלה, ובשותפות עם טסלה אנו מקווים לעודד מחקר אבטחה מעמיק יותר של כלי הרכב המחוברים, בזמנים שבהם הקטגוריה ממשיכה להתרחב".

עדכון תוכנה ותודה לפורצים

למרות ההתלהבות, הפריצה היא חדשות רעות בעבור טסלה, אבל מאידך, טוב שהתגלתה כחלק מתחרות לגיטימית. החשיפה תאפשר לחברה הזדמנות לתקן את הבאג ולוודא שלא ינוצל על ידי האקרים בעתיד.

TechCrunch פרסם הצהרה של טסלה שבה החברה כבר הודיעה כי תשחרר עדכון תוכנה בכדי לתקן את הפגיעות שהתגלתה על ידי האקרים. "הכנסנו את Model 3 לתחרות Pwn2Own המפורסמת בעולם בכדי ליצור קשר עם חברי צוות המחקר הביטחוני המוכשרים ביותר, במטרה לקבל את סוג המשוב המדויק הזה. במהלך התחרות, החוקרים הציגו פגיעות בדפדפן האינטרנט במכונית".

החברה הוסיפה והסבירה כי יש כמה שכבות אבטחה בתוך המכוניות שלה, ואלו "עבדו כפי שתוכננו ובהצלחה" והביאו לכך שרק הדפדפן נפרץ, "בתוך הגנה על כל פונקציונליות הרכב האחרת". טסלה הדגישה כי לצורך התצוגה של ההאקרים נדרשו "כמות יוצאת דופן של מאמץ ומיומנות", ואמרה שמלבד הפרס הנדיב היא גם מודה לחוקרים על עבודתם, שתסייע לה להמשיך ולהבטיח שהמכוניות שלה "הן הבטוחות ביותר על הכביש כיום".