Bir siber güvenlik araştırmacısı, yüzlerce kamuya açık TeslaMate kurulumunun, doğrulama mekanizmaları olmadan hassas Tesla araç verilerini sızdırdığını tespit etti. Bu durum, GPS koordinatları, şarj alışkanlıkları ve sürüş verileri gibi kişisel bilgilerin internet üzerinden herhangi bir kişi tarafından erişilebilmesine olanak sağlıyor. Güvenlik açığı, Tesla’nın resmi API’sine bağlanan ve kapsamlı araç telemetri verilerini toplayan açık kaynak Tesla veri kaydı aracı TeslaMate’in yanlış yapılandırılmış kurulumlarından kaynaklanıyor.
Araştırmada, siber güvenlik uzmanı Seyfullah KILIÇ, internet üzerinde TeslaMate örneklerini tespit etmek için kapsamlı ve sofistike keşif yöntemleri uyguladı. Bu süreçte, port 4000 üzerinde çalışan TeslaMate’in ana uygulama arayüzünü taramak için birden fazla 10Gbps sunucu kullanarak masscan aracıyla tüm IPv4 adres alanı tarandı. Ardından, httpx kullanılarak uygulamanın belirgin HTTP yanıt imzaları filtrelendi ve gerçek TeslaMate kurulumları doğrulandı.
Bu tarama sonucunda yüzlerce savunmasız TeslaMate örneği tespit edildi. Sızan bilgiler arasında hassas GPS koordinatları, araç modeli ve yazılım sürümü bilgileri, şarj oturumu zaman damgaları ve ayrıntılı konum geçmişi gibi kritik veriler yer alıyor. Araştırmacı, bu verileri görselleştirmek için teslamap.io adlı bir demo web sitesi oluşturdu ve sızan araçların coğrafi dağılımını ortaya koydu. Bu sayede, ihlalin büyüklüğü ve gizlilik riskinin ciddiyeti kamuya gösterilmiş oldu.
TeslaMate’in temel güvenlik açığı, kritik uç noktalar için yerleşik doğrulama mekanizmalarının bulunmamasından kaynaklanıyor. Uygulama, port 4000 üzerinden internet ortamında açık şekilde çalıştırıldığında, yetkisiz kullanıcılar tarafından hemen erişilebilir hale geliyor. Ayrıca, birçok kurulum, port 3000 üzerinde Grafana panolarını varsayılan veya zayıf kimlik bilgileriyle çalıştırıyor; bu durum, ek saldırı vektörleri oluşturuyor ve veri sızıntısı riskini artırıyor.
Araştırmacı, Tesla sahiplerine acilen güvenlik önlemleri almasını tavsiye ediyor. Bunlar arasında Nginx ile ters proxy doğrulama yapılandırmak, erişimi güvenlik duvarı kurallarıyla sınırlandırmak, hizmetleri yalnızca localhost arayüzüne bağlamak ve VPN tabanlı erişim kontrolleri uygulamak yer alıyor. Ayrıca, TeslaMate’in kurulumunda kritik uç noktaların güvenliğinin sağlanması ve yetkisiz erişimlerin engellenmesi büyük önem taşıyor.
Bu olay, özellikle bağlı araçlardan gelen hassas kişisel ve konum verilerini işleyen Nesnelerin İnterneti (IoT) uygulamaları için güvenli dağıtım ve yapılandırma uygulamalarının ne denli kritik olduğunu bir kez daha ortaya koyuyor. Araştırma, araç sahiplerinin ve geliştiricilerin, TeslaMate gibi açık kaynak yazılımları kullanırken varsayılan güvenlik yapılandırmalarına güvenmemeleri gerektiğini vurguluyor
Kaynakça:https://cybersecuritynews.com/teslamate-leaks-vehicle-data/
