Bir güvenlik araştırmacısı, yüzlerce kendi kendine barındırılan teslamat sunucularının hassas Tesla araç verilerini herhangi bir kimlik doğrulaması olmadan halka açık internete maruz bıraktığını, gerçek zamanlı konum izleme, şarj kalıpları ve şüphesiz sahiplerin kullanma alışkanlıklarını açtığını keşfetti.
Teslamate, GPS koordinatları, pil sağlığı, şarj oturumları, seyahat geçmişleri ve kabin sıcaklıkları dahil olmak üzere ayrıntılı araç telemetrisini toplamak için Tesla’nın resmi API’sına bağlanan popüler bir açık kaynaklı veri kaydı.
Uygulama 4000 bağlantı noktasında çalışır ve veri görselleştirmesi için genellikle 3000 bağlantı noktasında bir Grafana gösterge paneli içerir.
Yaygın pozlama keşfedildi
İnternet çapında tarama araçlarını kullanan araştırmacı, birden fazla kıtada yaklaşık 900 halka açık teslamat kurulumu tespit etti.
Metodoloji, açık bağlantı noktası 4000 için tüm IPv4 adres alanının taranmasını, ardından Teslamate’in kendine özgü web arayüzü parmak izini tanımlamak için sonuçları filtrelemeyi içeriyordu.
Maruz kalan sunucular, Tesla sahiplerinin günlük rutinleri hakkında endişe verici detaylar ortaya koydu.
Araştırmacı, park edilmiş araçların tam GPS koordinatlarına erişebilir, işe gidip gelme kalıplarını izleyebilir, ev adreslerini belirleyebilir ve hatta araştırmacının raporuna göre arabaların ne zaman mevcut olmadığını belirleyebilir.
Birçok durumda veriler, sahiplerin hareketlerinin, tatil programlarının ve şarj davranışlarının tam bir resmini çizdi.
Kritik Güvenlik Boşlukları
Kök sorunu Teslamate’nin mimarisinde yatmaktadır: uygulama yerleşik kimlik doğrulaması olmayan ve varsayılan olarak tüm ağ arayüzlerine bağlanır.
Bulut sunucularına veya genel IP adreslerine sahip sistemlere dağıtıldığında, bu yapılandırma tüm araç verilerini bir web tarayıcısına sahip herkes için anında erişilebilir hale getirir.
Araştırmacı, Teslamap.io’da maruz kalan Tesla araçlarının küresel dağılımını göstererek, sızan GPS koordinatlarının kötü niyetli aktörler tarafından nasıl silahlandırılabileceğini gösteren etkileşimli bir harita oluşturdu.
Görselleştirme, Kuzey Amerika, Avrupa ve Asya’daki büyük metropol alanlarda konsantre kümeler gösterdi.
Maruz kalan veriler ciddi gizlilik ve fiziksel güvenlik riskleri sunmaktadır. Suçlular, araçların ev olmadığını belirlemek, hırsızlık planlaması için günlük rutinleri izlemek veya hırsızlık operasyonları için yeterli pil şarjı ile yüksek değerli hedefleri bulmak için bilgileri kullanabilir.
Hassas konum verileri ve gerçek zamanlı araç statüsü kombinasyonu, potansiyel saldırganlar için eşi görülmemiş bir istihbarat beslemesi oluşturur.
Güvenlik uzmanları, teslamat operatörleri için birkaç acil iyileştirme adımı önermektedir. Temel kimlik doğrulama ile ters bir proxy kurmak basit bir ilk savunma hattı sağlar.
Araştırmacı, minimum güvenlik önlemi olarak Nginx’i şifre koruması ile kullanmanızı önerir.
Ek öneriler arasında uygulamanın yalnızca Localhost’a bağlanması, uygun güvenlik duvarı kurallarının etkinleştirilmesi, varsayılan Grafana kimlik bilgilerinin değiştirilmesi ve mümkünse VPN erişiminin arkasına dağıtılması yer alır.
Teslamat koruyucular sorunu kabul ettiler ve yaklaşan sürümlerde güvenli bir şekilde savunma kimlik doğrulamasını uygulamayı planladılar.
Bununla birlikte, yüzlerce maruz kalan kurulum aktif kalır ve bireysel operatörler uygun güvenlik kontrollerini uygulayana kadar hassas araç verileri yayınlamaya devam eder.
AWS Security Services: 10-Point Executive Checklist - Download for Free