Более тысячи серверов TeslaMate оказались доступны в интернете
Исследователь безопасности Сейфуллах Килич, основатель компании SwordSec, обнаружил более 1300 интернет-доступных панелей TeslaMate. По всей видимости, они были обнародованы по ошибке, что позволяет любому человеку получить доступ к данным Tesla, хранящимся внутри, без необходимости ввода пароля.
TeslaMate — это система логирования данных с открытым исходным кодом, которая позволяет владельцам Tesla самостоятельно размещать и визуализировать данные своего автомобиля, такие как температура, состояние батареи, сеансы зарядки, а также более чувствительную информацию, например, скорость автомобиля и данные о местоположении последних поездок.
В своём блоге Килич написал, что провёл сканирование интернета в поисках публично доступных панелей TeslaMate, собрал данные о последнем известном местоположении автомобилей и моделях Tesla, а затем визуализировал их на карте.
«Вы непреднамеренно делитесь информацией о перемещениях своего автомобиля, привычках зарядки и даже времени отпуска со всем миром», — написал Килич.
Килич сообщил TechCrunch, что его цель — привлечь внимание к количеству уязвимых серверов, и призвал пользователей TeslaMate защитить свои панели. Он подчеркнул, что без базовой аутентификации или правил брандмауэра чувствительные данные (GPS, данные о зарядке и поездках) могут быть раскрыты.
Хотя это не новая проблема, Килич показал, что количество уязвимых панелей TeslaMate значительно выросло с последнего подсчёта в 2022 году, когда другой исследователь безопасности обнаружил десятки публично доступных панелей TeslaMate.
Спустя более трёх лет другой исследователь обнаружил в интернете более тысячи саморазмещённых серверов TeslaMate и нанёс их на карту, показав, что проблема усугубилась.
Основатель TeslaMate Адриан Кумпф в 2022 году сообщил TechCrunch, что было выпущено исправление ошибки, направленное на защиту от публичного доступа к панелям пользователей, но предупредил, что проект не может защитить от случайного раскрытия серверов TeslaMate в интернете пользователями.
Килич подчеркнул, что пользователи TeslaMate должны включить аутентификацию на своих серверах, чтобы предотвратить публичный доступ: «Если вы планируете размещать TeslaMate на общедоступном сервере, вы должны обеспечить его безопасность».