Um investigador de segurança descobriu que mais de um milhar de servidores domésticos, geridos por proprietários de veículos Tesla, estão a expor publicamente dados sensíveis, incluindo históricos detalhados de localização.
Seyfullah Kiliç, fundador da empresa de cibersegurança SwordSec, identificou mais de 1.300 painéis de controlo do TeslaMate expostos na internet. Estes painéis, provavelmente tornados públicos por engano, permitem que qualquer pessoa aceda aos dados do veículo armazenados sem necessidade de palavra-passe.
O que é o TeslaMate e qual o perigo?
O TeslaMate é uma popular ferramenta de código aberto que funciona como um registador de dados. Permite que os proprietários de Teslas alojem nos seus próprios computadores um sistema para visualizar informações detalhadas sobre o seu veículo. Entre os dados recolhidos estão a temperatura, o estado da bateria e as sessões de carregamento.
No entanto, a ferramenta regista também informações muito mais sensíveis, como a velocidade do veículo e, mais criticamente, os dados de localização de viagens recentes, incluindo o histórico de percursos.
Numa publicação no seu blogue, Kiliç detalhou como fez uma varredura pela internet em busca destes painéis públicos, extraindo a última localização conhecida e o modelo dos veículos. Com estes dados, criou um mapa que visualiza a posição dos Teslas expostos.
"Está a partilhar involuntariamente os movimentos do seu carro, hábitos de carregamento e até os períodos de férias com o mundo inteiro", escreveu Kiliç. O seu objetivo, afirmou, é alertar para a gravidade da situação e instar os utilizadores a protegerem os seus sistemas.
Um problema que se tem vindo a agravar
Esta não é a primeira vez que a falta de segurança em instalações do TeslaMate é notícia. Já em 2022, um outro investigador de segurança havia encontrado dezenas de painéis publicamente expostos. A nova descoberta de Kiliç demonstra que, passados mais de três anos, o problema não só persiste como se agravou significativamente.
Na altura, o fundador do TeslaMate, Adrian Kumpf, explicou que foi lançada uma correção para um bug que visava proteger o acesso público aos painéis. Contudo, alertou que o projeto não pode impedir que os próprios utilizadores exponham acidentalmente os seus servidores à internet através de configurações incorretas.
Como proteger os seus dados
A recomendação de Seyfullah Kiliç é clara e direta: os utilizadores do TeslaMate devem ativar a autenticação nos seus servidores para impedir o acesso público não autorizado.
"Se planeia executar o TeslaMate num servidor com acesso público, tem a obrigação de o proteger", conclui Kiliç. A responsabilidade final recai sobre os proprietários, que devem garantir que as suas implementações caseiras desta útil ferramenta não se transformam numa grave violação da sua própria privacidade.
Nenhum comentário
Seja o primeiro!