Tesla ได้จ่ายค่าหัวบั๊กเป็นเงินที่สูงมากสำหรับการค้นพบช่องโหว่แบบ Cross-Site Scripting (XSS) ในระบบหลังบ้านที่เปิดช่องให้ดูดข้อมูลทางสถิติที่สำคัญของยานพาหนะได้ โดยรางวัลนี้ตกเป็นของแฮ็กเกอร์และนักวิจัยด้านความปลอดภัยของเว็บแอพพลิเคชั่น ที่เป็นเจ้าของรถ Tesla 3 เองด้วย
นักวิจัยรายนี้ชื่อ Sam Curry พบบั๊กโดยบังเอิญระหว่างการทดสอบระบบป้องกันของตัวรถกับการโจมตีหลากหลายรูปแบบ ซึ่งพยายามทดลองดูว่ารถของเขาสามารถป้องกันการโจมตีแบบสตริงที่ชื่อ ‘%x.%x.%x.%x’ ได้หรือไม่ แต่ก็ไม่เกิดผลอะไรขึ้น
แต่หลังจากทดลองหลายครั้ง เขาสังเกตว่ารถยนต์รองรับสตริงที่เป็นตัวอักษรแบบยาว และตัดสินใจที่ใช้เปย์โหลดที่สร้างขึ้นเองผ่านบริการทดสอบอัตโนมัติ XSS Hunter จากนั้นในเดือนมิถุนายนที่รถของเขาโดนหินพุ่งใส่กระจกหน้าจนต้องนัดศูนย์เปลี่ยนอะไหล่ใหม่นั้น
เมื่อ Curry เช็คบนระบบ XSS Hunter ก็พบว่าตัวเอเจนต์ของเทสล่าได้ส่งเปย์โหลดของ XSS และแสดงข้อมูลที่เกี่ยวข้องออกมา ซึ่งเกี่ยวข้องกับซับโดเมนของเทสล่าเองที่เปิดช่องให้เข้าถึงข้อมูลปัจจุบันของรถไม่ว่าจะเป็นความเร็ว, อุณหภูมิ, เวอร์ชั่นเฟิร์มแวร์, แรงดันลมยาง, โซนเวลาปัจจุบัน, และสถานะการล็อกรถยนต์
ที่มา : Bleepingcomputer
