8 月 19 日消息，據外媒 Cyber Security News 昨日報道，一名網絡安全研究員發現，數百個公開可訪問的 TeslaMate 安裝程序正在未經身份驗證的情況下泄露敏感的特斯拉車輛數據，向互聯網上的任何人暴露 GPS 坐標、充電模式和駕駛習慣。

TeslaMate 是一款受特斯拉車主歡迎的開源解決方案，它可以連接到特斯拉的官方 API，為特斯拉車主提供了一系列功能，包括數據分析、監控、統計通知等，還能夠將數據上傳到云端。

報道稱，這種漏洞源于該工具的配置錯誤，安全研究員 Seyfullah KILIÇ 使用復雜的偵察技術進行了廣泛的互聯網掃描，以識別暴露的 TeslaMate 實例。

該方法涉及在多個 10Gbps 服務器上部署 masscan，掃描整個 IPv4 地址空間中開放的 4000 端口，該端口承載 TeslaMate 的核心應用接口。

在初步發現階段后，研究人員使用 httpx 過濾并識別真正的 TeslaMate 安裝情況，通過檢測應用程序獨特的 HTTP 響應簽名，掃描操作成功識別出數百個易受攻擊的實例，這些實例暴露了特斯拉車輛實時數據，包括精確的 GPS 坐標、車輛型號信息、軟件版本、充電會話時間戳和詳細的位置歷史記錄。

研究人員還創建了一個 teslamap.io 演示網站，用于可視化暴露車輛的地域分布，展示了隱私泄露的嚴重性。

報道提到，根本性的安全漏洞在于 TeslaMate 的默認配置，其缺乏對關鍵端點的內置認證機制。當部署在端口 4000 暴露于互聯網的云服務器上時，該應用程序會立即被全球未授權用戶訪問。

此外，許多安裝運行在端口 3000 上的 Grafana 儀表板，使用默認或弱密碼憑證，從而創造了多個攻擊向量。

報道認為，使用 TeslaMate 實例的特斯拉車主必須立即采取安全措施來保護他們的車輛數據。基本保護措施包括使用 Nginx 配置反向代理認證，以及通過防火墻規則限制訪問、將服務綁定到 localhost 接口等。