- 19,874
- 44
- 8 Ноя 2022
Как TeslaMate превратился в инструмент для сталкеров?
Исследователь в области информационной безопасности обнаружил , что сотни серверов TeslaMate по всему миру открыто передают данные автомобилей Tesla без какой-либо защиты. Это значит, что в открытом доступе оказывалась телеметрия машин — от точных координат и маршрутов до привычек владельцев и даже графика подзарядок.
TeslaMate — это популярный open-source инструмент, который подключается к официальному API Tesla и собирает максимально детализированную информацию о машине. Система фиксирует GPS-данные, состояние батареи, историю поездок, температурные показатели салона и прочие параметры. Для отображения статистики используется связка веб-интерфейса на порту 4000 и панели Grafana на порту 3000. Однако по умолчанию приложение не требует аутентификации и автоматически привязывается ко всем сетевым интерфейсам. Если его запускают на сервере с публичным IP, то вся информация становится доступной любому пользователю сети.
При помощи глобального сканирования IPv4-адресов по открытому порту 4000 исследователь нашёл около 900 таких инсталляций на разных континентах. В результате в распоряжении посторонних оказывались точные маршруты владельцев, координаты припаркованных машин, адреса проживания, а также данные о том, когда автомобили отсутствуют по привычным локациям.
На основе собранного массива удалось выстроить полную картину повседневной жизни владельцев и даже выявить периоды отпусков. Особенно тревожно то, что на основе этих данных злоумышленники могут заранее планировать кражи или проникновения в дома, зная, когда хозяев нет.
Чтобы продемонстрировать масштаб проблемы, исследователь запустил сайт teslamap.io , где на карте отмечены все найденные автомобили, подключенные к незащищённым серверам TeslaMate. В некоторых регионах — особенно в мегаполисах Северной Америки, Европы и Азии — они образуют целые кластеры, поскольку там оказалось сразу множество незащищённых установок.
Специалисты рекомендуют немедленно принять меры защиты. В качестве минимального уровня — использовать обратный прокси (например, Nginx) с паролем, ограничить доступ только через localhost, настроить корректные правила файрвола, сменить дефолтные учётные данные Grafana и по возможности закрыть доступ к панели через <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>.
Разработчики TeslaMate подтвердили наличие проблемы и пообещали в будущих релизах ввести встроенную аутентификацию «по умолчанию». Но пока сотни установок продолжают функционировать без защиты, конфиденциальные данные об автомобилях остаются в открытом доступе. Это подчёркивает актуальность проблемы утечек данных в современных реалиях.
Исследователь в области информационной безопасности обнаружил , что сотни серверов TeslaMate по всему миру открыто передают данные автомобилей Tesla без какой-либо защиты. Это значит, что в открытом доступе оказывалась телеметрия машин — от точных координат и маршрутов до привычек владельцев и даже графика подзарядок.
TeslaMate — это популярный open-source инструмент, который подключается к официальному API Tesla и собирает максимально детализированную информацию о машине. Система фиксирует GPS-данные, состояние батареи, историю поездок, температурные показатели салона и прочие параметры. Для отображения статистики используется связка веб-интерфейса на порту 4000 и панели Grafana на порту 3000. Однако по умолчанию приложение не требует аутентификации и автоматически привязывается ко всем сетевым интерфейсам. Если его запускают на сервере с публичным IP, то вся информация становится доступной любому пользователю сети.
При помощи глобального сканирования IPv4-адресов по открытому порту 4000 исследователь нашёл около 900 таких инсталляций на разных континентах. В результате в распоряжении посторонних оказывались точные маршруты владельцев, координаты припаркованных машин, адреса проживания, а также данные о том, когда автомобили отсутствуют по привычным локациям.
На основе собранного массива удалось выстроить полную картину повседневной жизни владельцев и даже выявить периоды отпусков. Особенно тревожно то, что на основе этих данных злоумышленники могут заранее планировать кражи или проникновения в дома, зная, когда хозяев нет.
Чтобы продемонстрировать масштаб проблемы, исследователь запустил сайт teslamap.io , где на карте отмечены все найденные автомобили, подключенные к незащищённым серверам TeslaMate. В некоторых регионах — особенно в мегаполисах Северной Америки, Европы и Азии — они образуют целые кластеры, поскольку там оказалось сразу множество незащищённых установок.
Специалисты рекомендуют немедленно принять меры защиты. В качестве минимального уровня — использовать обратный прокси (например, Nginx) с паролем, ограничить доступ только через localhost, настроить корректные правила файрвола, сменить дефолтные учётные данные Grafana и по возможности закрыть доступ к панели через <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>.
Разработчики TeslaMate подтвердили наличие проблемы и пообещали в будущих релизах ввести встроенную аутентификацию «по умолчанию». Но пока сотни установок продолжают функционировать без защиты, конфиденциальные данные об автомобилях остаются в открытом доступе. Это подчёркивает актуальность проблемы утечек данных в современных реалиях.
- Источник новости
- www.securitylab.ru
