Entrada

Investigador de seguridad mapea cientos de servidores TeslaMate filtrando datos de vehículos Tesla

Publicado
Por TheCodic
2 min de lectura

un mapa de Europa central mostrando marcadores de ubicación de servidores expuestos de TeslaMate, así como diferentes clusters de colores de más de un servidor.

Créditos de la imagen: Seyfullah Kiliç (captura de pantalla)

Un investigador de seguridad ha encontrado más de mil servidores de hobby expuestos en público que son propiedad de Tesla y que están filtrando datos sensibles sobre sus vehículos, incluyendo sus historias de ubicación detalladas.

Seyfullah Kiliç, fundador de la empresa de ciberseguridad SwordSec, dijo que encontró más de 1,300 dashboards de TeslaMate expuestos a internet, probablemente expuestos por error, lo que permite a cualquier persona acceder a los datos de Tesla almacenados sin necesidad de contraseña.

TeslaMate es un registrador de datos de código abierto que permite a los propietarios de Tesla autoalojar y visualizar sus datos de vehículo desde sus propios computadoras, como la temperatura del vehículo, el estado de la batería y las sesiones de carga, pero también información más sensible, como la velocidad del vehículo y los datos de ubicación de los viajes recientes.

En un artículo de blog, Kiliç dijo que escaneó internet en busca de dashboards de TeslaMate expuestos y extrajo la última ubicación vista del vehículo y los nombres de los modelos de Tesla, y los visualizó en un mapa para mostrar sus ubicaciones.

“Estás compartiendo involuntariamente los movimientos de tu coche, tus hábitos de carga y incluso tus vacaciones con el mundo entero,” escribió Kiliç.

Kiliç le dijo a TechCrunch que esto se hizo para aumentar la conciencia sobre el número de servidores expuestos y urgió a los usuarios de TeslaMate a asegurar sus dashboards.

“El objetivo era mostrar a los propietarios de Tesla y a la comunidad de código abierto que sin una [autenticación] básica o reglas de firewall, los datos sensibles (GPS, carga, viajes) pueden filtrarse,” dijo Kiliç.

Aunque no es un problema nuevo, Kiliç muestra que el número de dashboards de TeslaMate expuestos ha aumentado significativamente desde el último recuento en 2022, cuando un investigador de seguridad en ese momento encontró decenas de dashboards de TeslaMate expuestos a la web.

Hoy, más de tres años después, otro investigador de seguridad ha encontrado más de mil servidores autoalojados de TeslaMate en la web y los ha mapeado, mostrando que el problema parece haber empeorado.

El fundador de TeslaMate, Adrian Kumpf, le dijo a TechCrunch en 2022 que se había lanzado una corrección de errores para proteger contra el acceso público a los dashboards de los clientes, pero advirtió que el proyecto no podía proteger contra los usuarios que expongan accidentalmente sus servidores de TeslaMate a internet.

Kiliç dijo que los usuarios de TeslaMate deben habilitar la autenticación en sus servidores para evitar el acceso público.

“Si planeas ejecutar TeslaMate en un servidor accesible públicamente, debes asegurarlo,” escribió Kiliç.

Security Transportation cybersecurity data exposure Tesla Vehicles
Esta entrada está licenciada bajo CC BY 4.0 por el autor.