TeslaMate uygulamasında güvenlik açığı bulundu

Türk araştırmacı Seyfullah Kılıç, Tesla sahiplerinin kullandığı TeslaMate uygulamasında önemli bir güvenlik açığı buldu. Uygulamanın dataları, yanlış heyetim nedeniyle herkesin erişimine açık hale geldi. Şifre gerekmeksizin ulaşılabilen bu datalar, kullanıcıların adres ve günlük rutin üzere bilgilerini ifşa ediyor.

TeslaMate platformunda güvenlik açığı ortaya çıktı

TeslaMate, Tesla’nın resmi taşınabilir uygulamasında bulunmayan sürat, tüketim, menzil ve güç ortalaması üzere ayrıntılı istatistikleri ve raporları sunan gayri resmi bir uygulama. Kullanıcılar, uygulamayı kendi bilgisayarlarına yahut bulut sunucularına kurarak bu bilgilere erişiyor. Lakin bu suram sırasında yapılan yanlış yapılandırmalar, dataların internete açık hale gelmesine neden oluyor.

Siber güvenlik şirketi SwordSec’in kurucusu olan Seyfullah Kılıç, yaptığı taramalarda internette herkese açık 1.300’den fazla TeslaMate sunucusu buldu. Bu sunucularda yer alan araçların günlük rutinleri, mesken ve iş adresleri üzere hassas bilgiler herkes tarafından görüntülenebiliyor.

Kılıç, bu durumun kullanıcıların fizikî güvenliği için önemli bir risk taşıdığına dikkat çekerek, birçok Tesla sahibinin farkında olmadan konut ve iş adreslerini hatta tatil vakitlerini tüm dünyayla paylaştığı ihtarını yaptı.

TeslaMate uygulamasını kullananlar, bilgilerini inançta tutmak için kimi tedbirler almalı. Web arayüzü ve Grafana panolarına kimlik doğrulama ekleyerek kullanıcı ismi ve şifre koymalı, varsayılan şifreleri değiştirmeli.

Sunucunuza direkt internetten erişimi engellemeli, yalnızca mahallî ağınızdan yahut VPN üzerinden ulaşım sağlamalı. Port erişimini kısıtlayarak 4000 ve 3000 numaralı portların herkese açık olmadığından emin olmalı, yalnızca belli IP adreslerine müsaade vermeli.

Uygulama ve ilgili yazılımların en son sürümlerini kullanarak güvenlik yamalarını ihmal etmemeli. Ayrıyeten, kuşkulu girişleri tespit etmek için sunucu kayıtlarını nizamlı olarak denetim etmeleri gerekiyor.