Дослідник у сфері безпеки виявив понад тисячу серверів, які належать власникам автомобілів Tesla і які випадково опублікували чутливу інформацію, включаючи детальні історії місць розташування.
Сейфуллах Килич, засновник компанії з кібербезпеки SwordSec, повідомив, що знайшов понад 1,300 інформаційних панелей TeslaMate, які стали доступні в інтернеті через помилкове налаштування, що дозволяє будь-кому отримувати дані про автомобіль Tesla без пароля.
Що таке TeslaMate
TeslaMate є відкритим програмним забезпеченням для збору даних, що дозволяє власникам Tesla самостійно зберігати та візуалізувати дані про свої автомобілі, такі як температура, стан акумулятора та сесії зарядки, а також більш чутливу інформацію, таку як швидкість автомобіля та дані про місцезнаходження недавніх поїздок.
В блозі Килич розповів, що він сканував інтернет на предмет публічних панелей TeslaMate, збирав відомості про останнє зафіксоване місцезнаходження автомобілів і моделі Tesla, а також візуалізував їх на карті, аби показати їх розташування.
“Ви ненавмисно ділитеся рухом свого автомобіля, звичками зарядки і навіть часом відпустки з усім світом,” написав Килич.
Килич пояснив, що його метою було підвищити обізнаність про кількість експонованих серверів і закликав користувачів TeslaMate забезпечити їхні інформаційні панелі.
“Мета полягала у тому, щоб показати власникам Tesla та спільноті відкритого коду, що без базової аутентифікації чи правил брандмауера чутливі дані (GPS, зарядка, поїздки) можуть бути витоками,” додав він.
Хоча ця проблема не є новою, Килич відзначає, що кількість експонованих панелей TeslaMate суттєво зросла з останнього обстеження у 2022 році, коли один із дослідників безпеки виявив десятки публічних панелей TeslaMate.
Тепер, більш ніж через три роки, новий дослідник безпеки знайшов понад тисячу самостійно розміщених серверів TeslaMate в інтернеті та картографував їх, що свідчить про загострення цієї проблеми.
Засновник TeslaMate Адріан Кумпф заявив у 2022 році, що було випущено виправлення для помилок, яке мало на меті захистити від публічного доступу до інформаційних панелей користувачів, але попередив, що проект не може запобігти випадковому відкриттю серверів TeslaMate в інтернеті.
Килич рекомендує користувачам TeslaMate активувати аутентифікацію на своїх серверах, щоб запобігти публічному доступу.
