Исследователь в области информационной безопасности рассказал, что сотни серверов TeslaMate, расположенные по всему миру, открыто передают данные автомобилей Tesla без какой-либо защиты. В итоге вся телеметрия оказывается в открытом доступе.
Эти данные включают точные координаты и маршруты поездок, а также графики владельцев машин, их адреса и время подзарядок.
TeslaMate представляет собой опенсорсный инструмент, который подключается к официальному API Tesla и собирает информацию о машине. Он фиксирует GPS-данные, состояние батареи, историю поездок, температурные показатели салона и прочие параметры. Чтобы отображать статистику, применяется связка веб-интерфейса на порту 4000 и панели Grafana на порту 3000.
Приложение не требует аутентификации по умолчанию. Оно автоматически привязывается ко всем сетевым интерфейсам. Если запустить TeslaMate на сервере с публичным IP, то вся информация становится доступной любому пользователю сети.
Исследователь применил глобальное сканирование IPv4-адресов по открытому порту 4000 и нашёл около 900 таких установок на разных континентах. Он смог воссоздать полную картину повседневной жизни владельцев и выявить периоды их отпусков.
Исследователь представил сайт Teslamap с картой, на которой отмечены все найденные автомобили, подключенные к незащищённым серверам TeslaMate. Так, в мегаполисах Северной Америки, Европы и Азии они образуют целые кластеры с множеством незащищённых установок.
Автор порекомендовал использовать обратный прокси (например, Nginx) с паролем, ограничить доступ только через localhost, настроить корректные правила файервола, сменить учётные данные Grafana и закрыть доступ к панели через VPN.
Разработчики TeslaMate также подтвердили наличие проблемы и пообещали в будущих релизах ввести встроенную аутентификацию по умолчанию.
Между тем Hyundai решила взимать с клиентов плату за обновление системы кибербезопасности. Компания предлагает владельцам электромобилей Ioniq 5 обновление системы, которое позволит решить проблему взлома. Оно позиционируется как «опциональное» и стоит $65.
Источник: habr.com