A SwordSec kiberbiztonsági cég alapítója több mint 1300, akaratlanul nyilvánossá tett TeslaMate-kezelőfelületet azonosított az interneten. Seyfullah Kiliç szerint ezekhez bárki hozzáférhetett jelszó nélkül is, magyarán: bepillanthat az adott Tesla-tulajdonos adataiba.
Érzékeny adatok közszemlén
A TeslaMate egy nyílt forráskódú adatnaplózó, amely lehetővé teszi a Tesla-tulajdonosok számára, hogy saját gépükön futtatva vizualizálják járművük adatait. A Tesla-tulajdonosok többnyire hőmérsékleti adatokat, az akkumulátor állapotát és a töltési folyamatokat jelenítik meg ezen a dashboardon.
A felület azonban érzékenyebb információkhoz is hozzáférést nyújt – a jármű sebessége mellett az utazások helyadataihoz is.
A kiberszakértő egy blogbejegyzésben számolt be róla, hogy az interneten keresett nyilvánosan elérhető TeslaMate “műszerfalakat”.
Ezt követően begyűjtötte a járművek utolsó ismert helyadatait és a Tesla-modellek nevét. Ezeket aztán térképen ábrázolta, hogy bemutassa a járművek pontos helyzetét.
Megosztom hát mindenkivel…
A szakértő figyelmeztetett, a járműtulajdonosok öntudatlanul osztják meg autójuk mozgását, töltési szokásait, sőt még a nyaralási időpontokat is az egész világgal.
Kiliç a TechCrunch-nak elmondta: csupán arra akarta felhívni a figyelmet, milyen nagy számban hozzáférhetők nyilvánosan is ezek a szerverek.
A meglepő adatok ismeretében azt tanácsolja a TeslaMate-felhasználóknak, hogy gondoskodjanak dashboardjaik biztonságáról.
A kiberbiztonsági szakember kifejtette: “a cél az volt, hogy megmutassuk a Tesla-tulajdonosoknak és a nyílt forráskódú közösségnek: ha nincs alapvető hitelesítés vagy tűzfalszabály, érzékeny adatok is kiszivároghatnak”.
Nem új a probléma, de nagyon eldurvult
Bár nem új problémáról van szó, Kiliç kimutatta, hogy a nyilvánosan elérhető TeslaMate műszerfalak száma jelentősen nőtt az utolsó, 2022-es felmérés óta.
Három évvel ezelőtt egy másik biztonsági kutató már feltárt néhány tucat ilyen dashboardot.
Most azonban a SwordSec-alapítója már több mint ezer nyilvános TeslaMate-szervert azonosított, illetve helyezett el a térképen.
A TeslaMate alapítója, Adrian Kumpf 2022-ben a TechCrunch-nak azt mondta, kiadtak egy javítást a nyilvános hozzáférés megakadályozására. Azt azonban hozzátette: a projekt nem tud védekezni az ellen, ha a felhasználók véletlenül “nyitva hagyják” TeslaMate szervereiket.
Kiliç szerint a TeslaMate-felhasználóknak engedélyezniük kell a hitelesítést a szervereiken, hogy megelőzzék a jogosulatlan hozzáférést.
(Kép: Unsplash/Joshua Fernandez)
