Um investigador de cibersegurança revelou que mais de 1.300 instâncias do TeslaMate, uma ferramenta de código aberto utilizada por proprietários de Tesla para visualizar dados do veículo, estão acessíveis online sem qualquer protecção.
Entre os dados expostos encontram-se localizações em tempo real, históricos de viagem, padrões de carregamento, estado da bateria e até hábitos que podem indicar períodos de ausência de casa.
O alerta foi feito por Seyfullah Kiliç, especialista da SwordSec, que identificou e mapeou os servidores mal configurados. O investigador recolheu dados como os últimos locais registados e modelos de Tesla associados, expondo o risco de acesso indevido por qualquer pessoa com ligação à internet.
Consequências para os proprietários
A exposição de informações tão detalhadas levanta sérias preocupações de segurança.
Saber onde um carro está estacionado, os trajectos percorridos ou os momentos em que um veículo não se encontra em casa pode ser explorado para perseguição, roubo de automóveis ou até arrombamentos residenciais.
Apesar da gravidade, a Tesla não emitiu ainda qualquer reacção oficial sobre o incidente. Também não há relatos públicos de proprietários afectados que tenham comentado o caso.
O silêncio contrasta assim com a dimensão do problema, que pode colocar em risco milhares de utilizadores em todo o mundo.
Um problema antigo que se agravou
A vulnerabilidade não é nova. Em 2022, apenas algumas dezenas de painéis TeslaMate estavam abertos ao público.
Hoje, o número disparou para mais de mil, revelando uma falha de segurança persistente. O fundador do TeslaMate, Adrian Kumpf, chegou a corrigir um bug que poderia permitir acesso externo, mas reforçou que os utilizadores continuam responsáveis pela configuração correta dos seus servidores.
Kiliç apelou a todos os utilizadores para ativarem medidas básicas de protecção, como autenticação obrigatória, restrição de acessos através de firewalls, VPNs ou proxies reversos.
Sem estas precauções, os dados mais sensíveis de um veículo podem ser expostos livremente a qualquer pessoa.
Este incidente mostra que a cibersegurança deixou de ser apenas uma preocupação das grandes empresas.
Para qualquer pessoa que utilize soluções self-hosted, especialmente no universo IoT e veículos conectados, a protecção de dados deve ser encarada como uma prioridade absoluta.
Como proteger os seus dados agora
- Ativar autenticação em todos os painéis, por exemplo, com senha HTTP básica.
- Restringir o acesso com firewalls, VPNs ou ligando o serviço apenas à interface localhost.
- Utilizar um reverse proxy (como Nginx) com regras de proteção adicionais.
- Rever endpoints inseguros (como as portas 4000 e 3000) e substituir credenciais padrão ou fracas.
Este incidente evidencia a necessidade de uma abordagem de “segurança por design” em projectos open source, sobretudo em aplicações de IoT que tratam dados privados.
Sem uma posição oficial da Tesla, a responsabilidade recai directamente sobre os utilizadores e administradores: proteger os servidores é uma obrigação imediata.
Leave a Reply