8月19日，网络安全研究人员发现，数百个公开可访问的TeslaMate实例在未经验证的情况下暴露特斯拉车辆敏感数据，导致GPS坐标、充电模式和个人驾驶习惯等隐私信息可被互联网上的任何人获取。

该漏洞源于这款流行的开源特斯拉数据记录工具的配置错误。该工具通过连接特斯拉官方API来收集全面的车辆遥测数据。

关键发现

1. 数百个TeslaMate实例实时泄露特斯拉车辆数据

2. 研究人员使用masscan和httpx工具全网扫描4000端口，在teslamap.io上绘制了受影响车辆分布图

3. 特斯拉车主必须添加身份验证、防火墙和VPN访问控制

GPS与位置数据泄露

安全研究员Seyfullah KILIÇ采用先进的侦察技术，通过全网扫描识别出暴露在外的TeslaMate实例。

研究方法包括在多台10Gbps服务器上部署masscan工具，扫描整个IPv4地址空间中开放的4000端口（TeslaMate核心应用接口所在端口）。

在初步发现阶段后，研究人员使用httpx工具通过检测应用程序特有的HTTP响应特征来筛选和识别真正的TeslaMate实例：

扫描操作成功识别出数百个存在漏洞的实例，这些实例暴露了特斯拉车辆的实时数据，包括精确的GPS坐标、车型信息、软件版本、充电会话时间戳以及详细的位置历史记录。

暴露的TeslaMate实例

研究人员在teslamap.io网站上创建了一个演示页面，可视化展示受影响车辆的地理分布，直观呈现了隐私泄露的严重程度。

缓解措施

根本性的安全缺陷在于TeslaMate的默认配置未对关键端点设置内置身份验证机制。当部署在云服务器上且4000端口暴露于互联网时，全球未经授权的用户均可立即访问该应用程序。

此外，许多实例在3000端口上运行Grafana仪表板，使用默认或弱密码，形成了多重攻击途径。

运行TeslaMate实例的特斯拉车主必须立即采取安全措施保护车辆数据。基本防护措施包括配置Nginx反向代理身份验证：

其他安全措施还包括通过防火墙规则限制访问、将服务绑定到本地主机接口，以及实施基于VPN的访问控制。这项研究突显了物联网(IoT)应用程序安全部署实践的重要性，特别是那些处理联网车辆敏感个人和位置数据的应用。