TeslaMate uygulamasında güvenlik açığı bulundu

Türk araştırmacı Seyfullah Kılıç, Tesla sahiplerinin kullandığı TeslaMate uygulamasında ciddi bir güvenlik açığı buldu. Uygulamanın verileri, yanlış kurulum nedeniyle herkesin erişimine açık hale geldi. Şifre gerekmeksizin ulaşılabilen bu veriler, kullanıcıların adres ve günlük rutin gibi bilgilerini ifşa ediyor.

TeslaMate platformunda güvenlik açığı ortaya çıktı

TeslaMate, Tesla’nın resmi mobil uygulamasında bulunmayan hız, tüketim, menzil ve enerji ortalaması gibi detaylı istatistikleri ve raporları sunan gayri resmi bir uygulama. Kullanıcılar, uygulamayı kendi bilgisayarlarına veya bulut sunucularına kurarak bu verilere erişiyor. Ancak bu kurulum sırasında yapılan yanlış yapılandırmalar, verilerin internete açık hale gelmesine neden oluyor.

Siber güvenlik şirketi SwordSec’in kurucusu olan Seyfullah Kılıç, yaptığı taramalarda internette herkese açık 1.300’den fazla TeslaMate sunucusu buldu. Bu sunucularda yer alan araçların günlük rutinleri, ev ve iş adresleri gibi hassas bilgiler herkes tarafından görüntülenebiliyor.

Kılıç, bu durumun kullanıcıların fiziksel güvenliği için ciddi bir risk taşıdığına dikkat çekerek, birçok Tesla sahibinin farkında olmadan ev ve iş adreslerini hatta tatil zamanlarını tüm dünyayla paylaştığı uyarısını yaptı.

TeslaMate uygulamasını kullananlar, verilerini güvende tutmak için bazı önlemler almalı. Web arayüzü ve Grafana panolarına kimlik doğrulama ekleyerek kullanıcı adı ve şifre koymalı, varsayılan şifreleri değiştirmeli.

Sunucunuza doğrudan internetten erişimi engellemeli, sadece yerel ağınızdan veya VPN üzerinden ulaşım sağlamalı. Port erişimini kısıtlayarak 4000 ve 3000 numaralı portların herkese açık olmadığından emin olmalı, sadece belirli IP adreslerine izin vermeli.

Uygulama ve ilgili yazılımların en son sürümlerini kullanarak güvenlik yamalarını ihmal etmemeli. Ayrıca, şüpheli girişleri tespit etmek için sunucu kayıtlarını düzenli olarak kontrol etmeleri gerekiyor.