Um investigador de cibersegurança revelou que mais de 1.300 servidores TeslaMate, utilizados por proprietários de veículos Tesla, estão publicamente acessíveis na internet, expondo informação privada como históricos de localização e hábitos de carregamento.

Servidores expostos revelam dados de veículos Tesla

Seyfullah Kiliç, fundador da empresa de cibersegurança SwordSec, identificou mais de 1.300 servidores TeslaMate acessíveis online sem qualquer autenticação.

Qualquer pessoa podia consultar dados armazenados, incluindo a localização detalhada de viagens recentes, velocidades, temperatura do veículo, estado da bateria e sessões de carregamento.

O que é o TeslaMate

O TeslaMate é um software de código aberto que permite aos proprietários de Tesla auto-hospedar e visualizar os dados do seu veículo em dashboards personalizados.

Apesar de útil, a sua configuração incorreta pode deixar informações privadas expostas a toda a internet.

Numa publicação no seu blogue, Kiliç demonstrou num mapa a última localização registada de veículos e os modelos Tesla correspondentes.

Segundo ele:

Está a partilhar involuntariamente os movimentos do carro, os hábitos de carregamento e até períodos de férias com o mundo inteiro.

O especialista sublinha que o objetivo da investigação foi alertar utilizadores e a comunidade open source sobre a importância de proteger estes servidores com autenticação e regras de firewall.

Problema crescente desde 2022

Este não é um problema novo: em 2022, outro investigador já tinha encontrado dezenas de servidores TeslaMate expostos. No entanto, Kiliç mostrou que o número aumentou drasticamente nos últimos três anos, ultrapassando agora o milhar.

O fundador do projeto, Adrian Kumpf, tinha lançado uma correção para evitar acessos indesejados, mas alertou que o software não consegue evitar que utilizadores configurem os seus servidores de forma insegura.

Recomendação para os utilizadores Tesla

Kiliç deixa uma mensagem clara: quem utilizar o TeslaMate num servidor público deve ativar autenticação obrigatória para impedir o acesso não autorizado.

Se pretende executar o TeslaMate num servidor público, tem de o proteger.

Reforça o investigador.