大工网安告[2025038]

一、 情况分析

TeslaMate是调用特斯拉官方API接口，为特斯拉车主提供数据分析、监控、统计通知等功能的第三方开源工具。

近日，发现TeslaMate存在未授权访问漏洞，其默认配置对互联网开放4000端口且未设置身份验证，同时其3000端口运行着默认口令或弱口令的仪表板，可能导致车辆实时位置、历史轨迹、车辆状态等数据泄露。鉴于该漏洞影响范围较大，建议大家尽快做好自查及防护。

威胁类型：未授权、弱口令。

技术类型：访问控制不当。

利用条件：无

危害描述：攻击者可获取车辆实时位置、历史轨迹、车辆状态等数据。

二、 处置建议

修复解决方案：

官方已发布安全加固指南，请及时参考方案处理。

https://docs.teslamate.org/docs/advanced_guides/traefik/