Um pesquisador de segurança descobriu que centenas de servidores de teslamato auto-hospedados estão expondo dados sensíveis do veículo Tesla à Internet pública sem autenticação, revelando rastreamento de localização em tempo real, padrões de cobrança e hábitos de direção de proprietários desavisados.
Teslamate é um popular registrador de dados de código aberto que se conecta à API oficial da Tesla para coletar telemetria detalhada de veículos, incluindo GPS Coordena, saúde da bateria, sessões de carregamento, histórias de viagem e temperaturas da cabine.
O aplicativo é executado na porta 4000 e normalmente inclui um painel Grafana na porta 3000 para visualização de dados.
Exposição generalizada descoberta
Usando ferramentas de varredura em toda a Internet, o pesquisador identificou quase 900 instalações de teslamato acessíveis ao público em vários continentes.
A metodologia envolveu a digitalização de todo o espaço de endereço IPv4 para a porta aberta 4000 e, em seguida, filtrando os resultados para identificar a impressão digital da interface da web do teslamato.
Os servidores expostos revelaram detalhes alarmantes sobre as rotinas diárias dos proprietários da Tesla.
O pesquisador pode acessar coordenadas exatas de GPS de veículos estacionados, rastrear padrões de deslocamento, identificar endereços domésticos e até determinar quando os carros não estavam presentes em seus locais habituais, conforme um relatório por Pesquisador.
Em muitos casos, os dados pintaram uma imagem completa dos movimentos dos proprietários, cronogramas de férias e comportamentos de cobrança.
Lacunas críticas de segurança
O problema raiz está na arquitetura do teslamato: o aplicativo é fornecido sem autenticação interna e se liga a todas as interfaces de rede por padrão.
Quando implantado em servidores ou sistemas em nuvem com endereços IP públicos, essa configuração torna todos os dados do veículo instantaneamente acessíveis a qualquer pessoa com um navegador da Web.
O pesquisador criou um mapa interativo no Teslâmap.io exibindo a distribuição global de veículos Tesla expostos, demonstrando como as coordenadas de GPS vazadas podem ser armadas por atores maliciosos.
A visualização mostrou grupos concentrados nas principais áreas metropolitanas da América do Norte, Europa e Ásia.
Os dados expostos apresentam riscos sérios de privacidade e segurança física. Os criminosos poderiam usar as informações para identificar quando os veículos não estão em casa, rastrear rotinas diárias para o planejamento de roubo ou localizar alvos de alto valor com carga suficiente da bateria para operações de roubo.
A combinação de dados precisos de localização e status de veículo em tempo real cria um feed de inteligência sem precedentes para possíveis atacantes.
Os especialistas em segurança recomendam várias etapas imediatas de remediação para os operadores de teslamato. A instalação de um proxy reverso com autenticação básica fornece uma primeira linha de defesa simples.
O pesquisador sugere usar o nginx com senha proteção como uma medida de segurança mínima.
Recomendações adicionais incluem vincular o aplicativo apenas a localhost, permitindo as regras adequadas do firewall, alterando as credenciais de grafana padrão e implantando atrás do acesso da VPN sempre que possível.
Os mantenedores de teslamato reconheceram o problema e planejam implementar a autenticação segura por defadão nos próximos lançamentos.
No entanto, centenas de instalações expostas permanecem ativas, continuando a transmitir dados sensíveis ao veículo até que os operadores individuais implementem controles de segurança adequados.
AWS Security Services:10-Point Executive Checklist - Download for Free