#news Исследователь обнаружил сотни незащищённых инстансов TeslaMate — опенсорсного софта для мониторинга авто. GPS-данные, координаты машин, адреса, история поездок и прочее конфиденциальное. Всё это в открытом доступе.
TeslaMate стучит по API Tesla и собирает все эти данные. Дашборды Grafana на порту 3000, веб-интерфейс на порту 4000, страница настроек — все эндпоинты открытые, максимум есть дефолтные данные доступа на Grafana. Соответственно, всё это удовольствие нашлось банальным сканом порта 4000. Разработчик проблему признал, обещает исправить, но потом. Ждать от юзеров, что они будет убирать своих теслодружков за прокси, файерволы и прочее на нердовом, тоже не стоит. Так что можно полюбоваться на карту уязвимых инстансов. В Китае и Южной Корее их число зашкаливает. Нашлись несколько и в России, например, Тесла по имени Бэйба с “Острова Мечты” в Москве. Романтика.
