Siber güvenlik araştırmacısı Seyfullah Kılıç, Tesla araç sahipleri tarafından çalıştırılan ve araçlarına ait hassas verileri, özellikle de detaylı konum geçmişlerini açığa çıkaran binden fazla herkese açık TeslaMate sunucusu buldu.
SwordSec siber güvenlik şirketinin kurucusu Kılıç, internette 1.300’den fazla internete açık TeslaMate panosu bulduğunu ve bunların muhtemelen yanlışlıkla herkese açık hale getirildiğini belirtti. Bu durum, herhangi birinin içeride depolanan Tesla verilerine şifreye ihtiyaç duymadan erişmesine olanak tanıyor.
TeslaMate, Tesla sahiplerinin araçlarının sıcaklığı, pil sağlığı ve şarj oturumları gibi verilerini kendi bilgisayarlarından görselleştirmelerini sağlayan açık kaynaklı bir veri kaydedicidir. Ancak araç hızı ve son gezilerin konum verileri gibi daha hassas bilgileri de içerir.
Kılıç bir blog yazısında, internette herkese açık TeslaMate panoları taradığını ve araçların son görüldüğü konum ve Tesla model adlarını kazıdığını ve araçların konumlarını göstermek için araçları bir harita üzerinde görselleştirdiğini söyledi.
Kılıç, “Aracınızın hareketlerini, şarj alışkanlıklarını ve hatta tatil zamanlarınızı istemeden tüm dünyayla paylaşıyorsunuz,” diye yazdı.
Kılıç, TechCrunch’a bu çalışmanın amacının, açığa çıkan sunucu sayısına dikkat çekmek ve TeslaMate kullanıcılarını panolarını güvenli hale getirmeye çağırmak olduğunu söyledi.
Kılıç, “Amaç, Tesla sahiplerine ve açık kaynak topluluğuna, temel [kimlik doğrulama] veya güvenlik duvarı kuralları olmadan hassas verilerin (GPS, şarj, geziler) sızdırılabileceğini göstermekti” dedi.
Bu yeni bir sorun olmasa da Kılıç, açığa çıkan TeslaMate panolarının sayısının, önceki sayıma göre önemli ölçüde arttığını gösteriyor. 2022’de bir güvenlik araştırmacısı, web’de düzinelerce herkese açık TeslaMate panosu bulmuştu.
Şimdi, üç yıldan uzun bir süre sonra, başka bir güvenlik araştırmacısı web’de binden fazla kendinden barındırılan TeslaMate sunucusu buldu ve bunların haritasını çıkararak sorunun görünüşte daha da kötüleştiğini gösterdi.
TeslaMate’in kurucusu Adrian Kumpf, 2022’de TechCrunch’a, müşterilerin panolarına genel erişime karşı koruma amaçlı bir hata düzeltmesinin yapıldığını, ancak projenin kullanıcıların TeslaMate sunucularını yanlışlıkla internete açığa çıkarmasına karşı koruma sağlayamayacağını söyledi.
Kılıç, TeslaMate kullanıcılarının genel erişimi önlemek için sunucularında kimlik doğrulamayı etkinleştirmesi gerektiğini söyledi. Kılıç, “TeslaMate’i herkese açık bir sunucuda çalıştırmayı planlıyorsanız, onu güvenli hale getirmelisiniz,” diye yazdı.