Уязвимость TeslaMate: сотни серверов раскрывают конфиденциальные данные владельцев Tesla по всему миру

Специалист в области информационной безопасности сообщил, что сотни серверов TeslaMate, разбросанных по всему миру, передают данные автомобилей Tesla без какого-либо шифрования. В результате вся телеметрическая информация становится доступной для общего просмотра.

Эти данные включают точные географические координаты, маршруты передвижений, а также графики владельцев транспортных средств, их адреса и время зарядки батарей.

TeslaMate является открытым инструментом, который соединяется с официальным API Tesla для сбора информации о транспортном средстве. Он отслеживает GPS-координаты, состояние аккумулятора, историю поездок, а также температурные показатели в салоне и другие параметры. Для отображения данных используется комбинация веб-интерфейса, работающего на порту 4000, и панели Grafana на порту 3000.

По умолчанию приложение не требует аутентификации и автоматически связывается со всеми доступными сетевыми интерфейсами. При запуске TeslaMate на сервере с публичным IP-адресом вся информация становится видимой для любого пользователя сети.

Исследователь провел глобальное сканирование IPv4-адресов по открытому порту 4000 и обнаружил около 900 установок подобного рода на различных континентах. Это позволило ему составить полное представление о повседневной жизни владельцев, включая их дни отпусков.

Кроме того, он создал сайт Teslamap, на котором представлена карта всех автомобилей, подключенных к незащищённым серверам TeslaMate. В крупных городах Северной Америки, Европы и Азии сформировались значительные кластеры таких открытых установок.

Автор рекомендовал использовать обратный прокси (например, Nginx) с парольной защитой, ограничить доступ только для localhost, настроить правильные правила брандмауэра, сменить учетные данные Grafana и закрыть доступ к панели через VPN.

Разработчики TeslaMate также подтвердили наличие этой проблемы и пообещали внедрить встроенную аутентификацию по умолчанию в будущих обновлениях.

Между тем, Hyundai ввела оплату за обновление системы кибербезопасности для своих клиентов. Компания предлагает владельцам электромобилей Ioniq 5 обновление, которое поможет устранить уязвимости, хотя оно обозначается как «опциональное» и стоит $65.