漏洞通報
美國現代汽車感謝安全研究人員的努力,並樂於接受任何可能識別和補救美國現代汽車產品網路安全漏洞的相關資訊。我們將依循以下指示,及時調查並回應所有提交的合理通報。在美國境外的產品、服務和 IT 環境中發現的漏洞和/或問題,不在本漏洞揭露計畫的通報涵蓋範圍內。
依本計畫提交通報,即表示您同意不:
·從事可能損害或危及美國現代汽車、其員工、其客戶、其車輛乘員或其他第三方個人或實體(包括美國現代汽車公司相關經銷點和經銷點員工)的測試或研究
·破壞、入侵或損害您自有車輛或數據以外的任何車輛或數據
·存取或揭露屬於美國現代汽車、其員工、其客戶、其車輛乘員或其他第三方個人或實體的個人資訊
·入侵或揭露屬於美國現代汽車、其員工、其客戶、其車輛乘員或其他第三方個人或實體(包括美國現代汽車相關經銷點和經銷點員工)的機密或專有資料
·測試任何美國現代汽車財產或工廠,或美國現代汽車關係企業或相關第三方的財產或工廠之實體安全性。這包括美國現代汽車的附屬經銷點。
·進行任何類型的阻斷服務測試或過度消耗某一 IT 功能
·進行社交工程、垃圾郵件,或網路釣魚/魚叉式網路釣魚等攻擊
·對位於美國境外的系統或技術進行任何測試或研究
·在美國現代汽車確認已識別問題(如有)完成修補之前,將任何已提交的漏洞通報詳細資訊向任何第三方揭露
·在您受僱於美國現代汽車、其關係企業或美國現代汽車供應商,或代表美國現代汽車僱員行事時,參與或提交通報。如果您是上述實體的成員,請向您的管理層通報該問題,由您的管理層直接向美國現代汽車通報。
通報時請注意,雖然美國現代汽車由衷地重視漏洞通報,但是我們並不以金錢報酬(「賞金」)或非金錢報酬做為提交通報的交換。本計畫僅旨於促進可靠的通報程序並解決網路安全性漏洞。
提交通報時,我們希望您能:
·描述該漏洞,並盡可能提供概念證明程式碼,以便我們分析您的通報並進行分類
·描述您用以識別該漏洞的方式,以及任何已知或可能的補救措施
·確認您不在美國財政部指定制裁名單 或美國維護的其他受限方名單之列
·最後,在所有與本計畫相關的作業中,請遵守所有適用的法律和法規
如果您在任何一個現代汽車產品或服務中,發現有可能成為網路安全性漏洞的問題,請透過 DisclosureReporting@hmausa.com 與我們聯絡。我們必定會立即回覆您的通報。提交通報即表示您同意美國現代汽車可透過我們認為合適的任何方式,使用通報中的資訊。美國現代汽車使用 HackerOne 服務進行通報管理。請至 Hackerone.com/terms.