近期，一位网络安全专家发现，数百个TeslaMate装置在缺乏身份验证保护的状态下，将包括GPS轨迹、充电记录及驾驶习惯等特斯拉车辆的敏感信息，暴露给了互联网上的任意用户。

据悉，这一漏洞的根源在于一款广受欢迎的开源特斯拉数据记录工具的错误配置部署，该工具通过与特斯拉官方API的连接，全面收集车辆遥测数据。

安全研究员Seyfullah KILIC进行了一次互联网扫描工作，运用复杂的侦查技术识别暴露的TeslaMate实例。具体方法为在多个10Gbps服务器上部署masscan，对开放端口4000的整个IPv4地址空间进行扫描，该端口承载着TeslaMate的核心应用程序接口。

此后，研究人员借助httpx，通过检测应用程序独特的HTTP响应签名，筛选并识别真正的TeslaMate安装。扫描操作成功识别出数百个易受攻击的实例，这些实例暴露了特斯拉车辆的实时数据，涵盖精确的GPS坐标、车辆型号信息、软件版本、充电会话时间戳以及详细的位置历史记录。

暴露的TeslaMate 实例

TeslaMate的默认配置存在重大安全隐患，其缺乏针对关键端点的内置身份认证机制。一旦应用程序部署在4000端口暴露在互联网的云服务器上时，便极易被全球未授权用户访问。此外，许多运行在端口3000上的Grafana仪表板安装使用默认或弱密码凭证，形成了多个攻击途径。

特斯拉车主若使用TeslaMate实例，必须立即采取行动保护车辆数据安全（采用 Nginx 配置反向代理身份验证）。其他安全措施防火墙规则包括限制访问、将服务绑定至本地主机接口，以及实施基于虚拟专用网络（VPN）的访问控制。

此次事件再次凸显了物联网设备，特别是涉及个人隐私数据的车载系统，在部署时实施严格安全措施的重要性。车主应尽快检查自己的TeslaMate配置，避免成为下一个数据泄露的受害者。