Секретная карта Tesla уже в сети. Теперь воры знают, когда вас нет дома

Эксперт в области кибербезопасности обнаружил, что сотни серверов, использующих TeslaMate, по всему миру транслируют незащищенные данные автомобилей Tesla, делая доступной телеметрию, включая геолокацию, маршруты, привычки владельцев и графики зарядки.

TeslaMate – это популярный инструмент с открытым исходным кодом, который, взаимодействуя с официальным API Tesla, собирает детальную информацию об автомобиле: GPS-координаты, состояние аккумулятора, историю поездок, температуру в салоне и другие параметры. Для визуализации статистики используются веб-интерфейс (порт 4000) и панель Grafana (порт 3000). Однако, по умолчанию, приложение не требует аутентификации и привязывается ко всем сетевым интерфейсам. При размещении на сервере с публичным IP-адресом, вся информация становится общедоступной.

Путем сканирования IPv4-адресов по открытому порту 4000 было обнаружено около 900 подобных установок на различных континентах. В результате, в чужих руках оказывались маршруты владельцев, координаты припаркованных машин, домашние адреса и информация об отсутствии автомобилей в привычных местах.

Анализ собранных данных позволил воссоздать картину повседневной жизни владельцев и выявить периоды отпусков. Это создает потенциальную угрозу: злоумышленники могут планировать кражи, зная, когда дома остаются без присмотра.

Для привлечения внимания к проблеме, исследователь создал сайт teslamap.io, на котором отображаются местоположения незащищенных автомобилей TeslaMate. В мегаполисах Северной Америки, Европы и Азии наблюдаются кластеры таких установок.

Эксперты рекомендуют срочно принять меры защиты: использовать обратный прокси (например, Nginx) с паролем, ограничить доступ через localhost, настроить файрвол, сменить стандартные учетные данные Grafana и использовать VPN для доступа к панели.

Разработчики TeslaMate признали проблему и пообещали добавить встроенную аутентификацию в будущих версиях. Тем не менее, пока сотни установок остаются незащищенными, конфиденциальные данные об автомобилях находятся в открытом доступе, что подчеркивает актуальность проблемы утечек данных.