Usikrede TeslaMate-dashboards afslører dine lokationsdata i realtid

Sikkerhedsforskeren Seyfullah Kiliç fra SwordSec har identificeret over 1.300 offentligt tilgængelige og usikrede TeslaMate-dashboards, som kan vise Tesla-elbiler i realtid. De usikrede TeslaMate-dashboards gør det muligt at følge lokationsdata, batterisundhed og kørselsvaner, og i flere tilfælde kan indstillinger ændres uden login. Siden 2022 er antallet af eksponerede dashboards vokset markant, og problemet er globalt, fordi servere står åbent på internettet. Ifølge Kiliç skyldes sårbarheden manglende autentificering, fravær af firewall og ingen VPN eller IP-begrænsning. De usikrede TeslaMate-dashboards udgør en reel privatlivsrisiko, fordi telemetri fra en open source data-logger kan misbruges, hvis adgangskontrol ikke er på plads.

Realtidssporing og privatlivsrisiko

Når usikrede TeslaMate-dashboards ligger åbent, kan enhver med et link se realtidssporing og historik for en bils ruter, hjemmeposition og ladestop. Det er følsomme lokationsdata, der kan afsløre daglige rutiner og fravær fra hjemmet. Flere af de eksponerede dashboards viser også batterisundhed, hvilket kan sige noget om bilens brugsmønstre og værdi. Problemet forstærkes af uautentificeret adgang, hvor en angriber kan ændre, hvad der logges, uden at ejeren opdager det. Kiliç fandt de usikrede TeslaMate-dashboards via enkel internet-scanning, hvilket viser, at sårbarheden er let at udnytte. Kort sagt: usikrede TeslaMate-dashboards gør privat liv offentligt.

Hvorfor usikrede TeslaMate-dashboards opstår

TeslaMate er et populært open source-værktøj, og mange sætter det op for at få flotte grafer over telemetri fra deres Tesla-elbiler. Men standardopsætninger, hurtige guides og port-forwarding skaber ofte usikrede TeslaMate-dashboards, fordi der ikke tilføjes autentificering. Flere brugere tror fejlagtigt, at “ingen finder min server”, men internet-scanning finder let eksponerede dashboards. Manglende firewall, ingen VPN og ingen IP-begrænsning betyder, at enhver kan kigge med. Resultatet er usikrede TeslaMate-dashboards, som utilsigtet deler data med hele verden. Det er ikke softwaren i sig selv, men måden den publiceres på, der udløser sårbarhed.

Konsekvenser for Tesla-elbiler

For ejere af Tesla-elbiler kan usikrede TeslaMate-dashboards føre til uønsket overvågning af kørselsvaner og daglige mønstre. Det kan også gøre det lettere at gætte, hvornår en bil typisk står parkeret bestemte steder. Eksponerede dashboards afslører ofte detaljerede ruter og tidsstempler, som ikke bør være offentlige. I værste fald kan uautentificeret adgang ændre logning eller sløre spor, så ejeren mister overblik. Derfor bør alle ejere antage, at data er attraktive og handle, som om usikrede TeslaMate-dashboards kan blive fundet.

Sådan sikrer du TeslaMate

Start med stærk autentificering: beskyt dashboardet med brugernavn og adgangskode, og placer det bag en reverse proxy med adgangskontrol. Luk adgangen fra internettet med en firewall, og giv kun adgang via VPN eller specifik IP-begrænsning. Bind tjenesten til localhost og brug en sikker tunnel, hvis du skal nå den udefra. Opdater jævnligt og fjern enhver offentlig deling eller “demo”-visning. Hvis du allerede har kørt med usikrede TeslaMate-dashboards, så roter adgangsoplysninger, gennemgå logs og antag, at lokationsdata kan være set af andre. En enkel adgangskontrol kan forvandle usikrede TeslaMate-dashboards til et privat og sikkert værktøj.

Udvikleres sikkerhedspraksis

For projekter, der minder om TeslaMate, bør “secure by default” være målet. Kræv autentificering ved første start, slå offentlig adgang fra og giv klare vejledninger til VPN, firewall og IP-begrænsning. Gør logning gennemsigtig, så ejere ser uautoriserede forsøg. Dokumentér risici ved eksponerede dashboards og forklar, hvordan internet-scanning finder åbne instanser. Tag ansvar for sårbarhedshåndtering og opfordr brugere til at rapportere fejl sikkert. Ved at forhindre usikrede TeslaMate-dashboards i at opstå, beskytter man både fællesskabet og projektets omdømme.