IT之家 8 月 19 日音问，据外媒 Cyber Security News 昨日报谈，又名汇注安全征询员发现，数百个公开可拜访的 TeslaMate 装置要领正在未经身份考证的情况下败露敏锐的特斯拉车辆数据，向互联网上的任何东谈主夸耀 GPS 坐标、充电口头和驾驶俗例。

IT之家注：TeslaMate 是一款受特斯拉车主接待的开源处治决策，它不错通达到特斯拉的官方 API，为特斯拉车主提供了一系列功能，包括数据分析、监控、统计奉告等，还粗略将数据上传到云表。

报谈称，这种轻视源于该用具的设立异常，安全征询员 Seyfullah KILIÇ 使用复杂的考核技巧进行了凡俗的互联网扫描，以识别夸耀的 TeslaMate 实例。

该方法触及在多个 10Gbps 作事器上部署 masscan，扫描扫数 IPv4 地址空间中绽放的 4000 端口，该端口承载 TeslaMate 的中枢诈欺接口。

在初步发现阶段后，征询东谈主员使用 httpx 过滤并识别真实的 TeslaMate 装置情况，通过检测诈欺要领专有的 HTTP 反馈签名，扫描操作收效识别出数百个易受挫折的实例，这些实例夸耀了特斯拉车辆及时数据，包括精准的 GPS 坐标、车辆型号信息、软件版块、充电会话时刻戳和详备的位置历史纪录。

征询东谈主员还创建了一个 teslamap.io 演示网站，用于可视化夸耀车辆的地域散播，展示了隐秘败露的严重性。

报谈提到，根人性的安全轻视在于 TeslaMate 的默许设立，其零落对要津端点的内置认证机制。当部署在端口 4000 夸耀于互联网的云作事器上时，该诈欺要判辨立即被人人未授权用户拜访。

此外，很多装置开动在端口 3000 上的 Grafana 面貌板，使用默许或弱密码笔据，从而创造了多个挫折向量。

报谈合计开云(中国)Kaiyun·体育官方网站-登录入口，使用 TeslaMate 实例的特斯拉车主必须立即继承安全顺次来保护他们的车辆数据。基本保护顺次包括使用 Nginx 设立反向代理认证，以及通过防火墙规矩界限拜访、将作事绑定到 localhost 接口等。