TeslaMate配置漏洞致特斯拉车辆敏感数据暴露互联网

8月19日消息，据国外网络安全资讯平台报道，一位安全研究人员近日披露，有大量公开可访问的 TeslaMate 安装版本存在配置漏洞，导致特斯拉车辆的关键数据在未经授权的情况下暴露于互联网。这些数据包括车辆的 GPS 轨迹、充电行为及行车习惯等高度敏感信息。

TeslaMate 是一款深受特斯拉车主喜爱的开源工具，通过接入特斯拉官方 API 提供包括数据监控、分析、状态通知等功能，并支持将信息上传至云端进行长期存储与管理。

此次发现的隐患源于该软件在部署过程中的配置失误。安全研究员 Seyfullah KILI? 利用高效的扫描技术，对全球互联网上的 TeslaMate 安装实例进行了深度探测。他通过部署具备 10Gbps 处理能力的服务器，使用 masscan 工具对全网开放的 4000 端口进行探测，该端口正是 TeslaMate 核心服务的运行端口。

在首轮扫描之后，研究人员借助 httpx 工具进一步筛选确认了真实的 TeslaMate 实例。通过识别该应用返回的特定 HTTP 响应标识，最终确认了数百个存在风险的安装节点。这些暴露的接口可被任意访问，导致相关车辆的实时位置、车型型号、软件版本、充电记录及位置历史等详细资料外泄。

为了更直观地展示数据泄露范围，研究人员还搭建了一个用于展示的网站，呈现了这些暴露车辆在全球的分布情况，以此揭示问题的严重程度。

研究指出，这一安全隐患的根源在于 TeslaMate 的默认配置未对关键服务设置身份验证机制。一旦该服务部署在可被公网访问的服务器上，且运行在开放的 4000 端口，任何联网用户都可直接访问该服务。此外，部分用户在部署配套的 Grafana 监控仪表板时，将服务运行在 3000 端口并使用了默认或弱口令，也进一步增加了安全风险。

专家建议，所有使用该系统的特斯拉车主应尽快采取防护措施，以避免个人隐私数据被滥用。建议操作包括：通过 Nginx 设置反向代理并启用访问认证，使用防火墙限制外部访问范围，以及将服务绑定至本地回环地址等有效手段，防止服务暴露在互联网中。