18.08.2025
1 хв
630
Дослідник кібербезпеки виявив сотні відкритих інсталяцій TeslaMate, які без автентифікації розкривають GPS-координати, історію поїздок і дані про зарядку електрокарів Tesla будь-кому в інтернеті. Витік став можливим через неправильні налаштування популярного open-source логера TeslaMate, який збирає телеметрію напряму з офіційного API Tesla. За замовчуванням застосунок не має вбудованої автентифікації, і якщо він запущений на публічному сервері з відкритим портом 4000, дані стають доступними всім охочим.
Дослідник Сейфуллах Килич здійснив повне сканування IPv4-простору за допомогою masscan на високошвидкісних серверах, щоб знайти відкриті порти 4000. Далі він застосував httpx для відбору справжніх екземплярів TeslaMate за характерними HTTP-відповідями.
Результати показали сотні вразливих інсталяцій, які відкрито транслювали в реальному часі дані про моделі авто, версії ПЗ, маршрути руху, часові мітки зарядних сесій та навіть детальну історію поїздок. Для наочності було створено сайт teslamap.io, що демонструє географічне розташування вразливих автомобілів.
TeslaMate — популярний інструмент з відкритим кодом, який дозволяє власникам Tesla вести розширену статистику поїздок, споживання енергії та стану акумулятора. Його інтеграція з Grafana дає змогу будувати наочні дашборди. Проте, як показала практика, багато користувачів залишають сервери відкритими, без захисту паролями чи брандмауером, що створює серйозні ризики для конфіденційності. Схожі проблеми часто виникають у сфері IoT-додатків, де розробники приділяють більше уваги функціональності, ніж безпеці. Автомобільні дані особливо критичні, адже вони можуть розкрити домашні адреси, маршрути, місця роботи та звички власників.
Експерти наголошують: власники Tesla, які використовують TeslaMate, повинні негайно впровадити автентифікацію через Nginx, обмежити доступ за допомогою брандмауера, прив’язати сервіси до локальних інтерфейсів або ж використовувати VPN. Цей випадок ще раз підкреслює — безпечне розгортання IoT-рішень має бути пріоритетом, адже навіть зручні інструменти можуть перетворитися на джерело масштабних витоків приватних даних.
