-
Want to remove ads? Register an account and login to see fewer ads, and become a Supporting Member to remove almost all ads.
Hacker ontdekt Tesla-lek en bedient functies auto's op afstand
- Thread starter DuoDiscus
- Start date
Hier eindelijk wat meer details over deze 'hack':
medium.com
TL;DR:
TeslaMate heeft net een update uit, die een paswoord voor Grafana forceert, en encryptie van de API key. Tesla zelf heeft hun API ook aangepast zodat je niet meer het email adres kan achterhalen. En er is nog een akkefietje dat met een paswoord reset niet alle API keys worden gereset.
Deze jongeman botste hierop aan omdat ie voor een bedrijfje een penetration test moest doen, en botste op een subdomein waar de CTO zijn onbeveiligde Teslamate had draaien...
How I got access to 25+ Tesla’s around the world. By accident. And curiosity.
How the heck did a 19 year old from Germany manage to be able to take over more than 25 Tesla’s around the world?
medium.com
TL;DR:
- Onbeveiligde TeslaMate installaties op publieke servers
- Grafana zonder paswoord, of met default paswoord
- De Grafana gebruiker die de databank kan queryen, kan ook de API keys uit de databank queryen.
- De API keys kennen enkel 1 scope, waarmee je volledige toegang krijgt tot de locatie en functies van de auto
- Via de Tesla API kan je met de API key ook het email adres van de gebruiker achterhalen
TeslaMate heeft net een update uit, die een paswoord voor Grafana forceert, en encryptie van de API key. Tesla zelf heeft hun API ook aangepast zodat je niet meer het email adres kan achterhalen. En er is nog een akkefietje dat met een paswoord reset niet alle API keys worden gereset.
Deze jongeman botste hierop aan omdat ie voor een bedrijfje een penetration test moest doen, en botste op een subdomein waar de CTO zijn onbeveiligde Teslamate had draaien...
Similar threads
