В последние дни зарубежные СМИ всколыхнули новостью: исследователь в области кибербезопасности выявил серьезную брешь в системе TeslaMate, популярном среди владельцев Tesla инструменте для сбора и анализа данных об автомобилях. Оказалось, что сотни публично доступных установок этого ПО по всему миру открыто передают конфиденциальную информацию о машинах Tesla — без какой-либо авторизации. В результате любой пользователь Интернета может получить доступ к координатам GPS, истории поездок, режимам зарядки и даже привычкам вождения владельцев электрокаров.
TeslaMate — это решение с открытым исходным кодом, позволяющее подключаться к официальному API Tesla и собирать подробную статистику о состоянии автомобиля, маршрутах, обновлениях ПО и многом другом. Однако, как выяснилось, при стандартной установке на облачных серверах приложение не защищено паролем и доступно через порт 4000 для всех желающих. Дополнительную угрозу создают и панели мониторинга Grafana, которые часто используют стандартные или слишком простые пароли.
Исследователь Сейфуллах Килич провел масштабное сканирование Интернета, используя инструменты massscan и httpx, чтобы выявить уязвимые экземпляры TeslaMate. В результате были обнаружены сотни открытых установок, где в реальном времени отображались данные о местоположении, моделях, версиях ПО и истории зарядок автомобилей Tesla. Для наглядности даже был создан специальный сайт, демонстрирующий географию утечек.
Эксперты настоятельно советуют владельцам Tesla, использующим TeslaMate, срочно принять меры: ограничить доступ к сервису через настройки брандмауэра, использовать обратный прокси с обязательной авторизацией, а также не оставлять сервис открытым для всего Интернета. В противном случае личные данные и маршруты могут оказаться в свободном доступе для злоумышленников.
