Türk araştırmacı Seyfullah Kılıç, Tesla sahiplerinin kullandığı TeslaMate uygulamasında önemli bir güvenlik açığı buldu. Uygulamanın dataları, yanlış suram nedeniyle herkesin erişimine açık hale geldi. Şifre gerekmeksizin ulaşılabilen bu datalar, kullanıcıların adres ve günlük rutin üzere bilgilerini ifşa ediyor.

TeslaMate platformunda güvenlik açığı ortaya çıktı

TeslaMate, Tesla’nın resmi taşınabilir uygulamasında bulunmayan sürat, tüketim, menzil ve güç ortalaması üzere ayrıntılı istatistikleri ve raporları sunan gayri resmi bir uygulama. Kullanıcılar, uygulamayı kendi bilgisayarlarına yahut bulut sunucularına kurarak bu bilgilere erişiyor. Lakin bu heyetim sırasında yapılan yanlış yapılandırmalar, bilgilerin internete açık hale gelmesine neden oluyor.

Siber güvenlik şirketi SwordSec’in kurucusu olan Seyfullah Kılıç, yaptığı taramalarda internette herkese açık 1.300’den fazla TeslaMate sunucusu buldu. Bu sunucularda yer alan araçların günlük rutinleri, mesken ve iş adresleri üzere hassas bilgiler herkes tarafından görüntülenebiliyor.

Kılıç, bu durumun kullanıcıların fizikî güvenliği için önemli bir risk taşıdığına dikkat çekerek, birçok Tesla sahibinin farkında olmadan konut ve iş adreslerini hatta tatil vakitlerini tüm dünyayla paylaştığı ihtarını yaptı.

TeslaMate uygulamasını kullananlar, datalarını inançta tutmak için birtakım tedbirler almalı. Web arayüzü ve Grafana panolarına kimlik doğrulama ekleyerek kullanıcı ismi ve şifre koymalı, varsayılan şifreleri değiştirmeli.

Sunucunuza direkt internetten erişimi engellemeli, yalnızca lokal ağınızdan yahut VPN üzerinden ulaşım sağlamalı. Port erişimini kısıtlayarak 4000 ve 3000 numaralı portların herkese açık olmadığından emin olmalı, yalnızca belli IP adreslerine müsaade vermeli.

Uygulama ve ilgili yazılımların en son sürümlerini kullanarak güvenlik yamalarını ihmal etmemeli. Ayrıyeten, kuşkulu girişleri tespit etmek için sunucu kayıtlarını sistemli olarak denetim etmeleri gerekiyor.