圈小蛙
一位安全研究人员发现,特斯拉车主运行的 1000 多个公开的爱好服务器正在泄露有关其车辆的敏感数据,包括其详细的位置历史记录。
网络安全公司 SwordSec 的创始人 Seyfullah Kiliç 表示,他在互联网上发现了超过 1,300 个暴露在互联网上的 TeslaMate 仪表板,这些仪表板很可能是被错误公开的,任何人都可以访问存储在其中的特斯拉数据,而无需密码。
TeslaMate是一个开源数据记录器,允许特斯拉车主从自己的计算机自行托管和可视化其车辆的数据,例如车辆的温度、电池健康状况和充电过程,以及更敏感的信息,如车速和最近行程的位置数据。
基利克在一篇博客文章中表示,他在互联网上搜索了面向公众的 TeslaMate 仪表板,抓取了车辆最后出现的位置和特斯拉车型名称,并在地图上将这些车辆可视化以显示其位置。
“你会无意中与全世界分享你的汽车行驶情况、充电习惯,甚至休假时间,”Kiliç 写道。
Kiliç 告诉 TechCrunch,此举是为了提高人们对暴露服务器数量的认识,并敦促 TeslaMate 用户保护他们的仪表板。
Kiliç 表示:“我们的目标是向特斯拉车主和开源社区表明,如果没有基本的身份验证或防火墙规则,敏感数据(GPS、充电、行程)可能会泄露。”
虽然这不是一个新问题,但 Kiliç 表示,自 2022 年上次统计以来,暴露的 TeslaMate 仪表板数量已大幅增加,当时一名安全研究人员发现数十个公共 TeslaMate 仪表板暴露在网络上。
如今,三年多过去了,另一位安全研究人员在网络上发现了一千多个自托管的 TeslaMate 服务器并绘制了地图,表明问题似乎变得更加严重。
TeslaMate 的创始人 Adrian Kumpf 曾在 2022 年表示,他们推出了一个错误修复程序,旨在防止公众访问客户的仪表板,但他警告说,该项目无法防止用户意外将其 TeslaMate 服务器暴露给互联网。
Kiliç 表示,TeslaMate 用户应该在其服务器上启用身份验证,以防止公众访问。
“如果您计划在面向公众的服务器上运行 TeslaMate,则必须确保其安全,”Kiliç 写道。