You can install our site as a web app on your iOS device by utilizing the Add to Home Screen feature in Safari. Please see this thread for more details on this.
Note: This feature may not be available in some browsers.
How the heck did a 19 year old from Germany manage to be able to take over more than 25 Tesla’s around the world?
medium.com
TL;DR:
Onbeveiligde TeslaMate installaties op publieke servers
Grafana zonder paswoord, of met default paswoord
De Grafana gebruiker die de databank kan queryen, kan ook de API keys uit de databank queryen.
De API keys kennen enkel 1 scope, waarmee je volledige toegang krijgt tot de locatie en functies van de auto
Via de Tesla API kan je met de API key ook het email adres van de gebruiker achterhalen
Had je dus 1) correct uitgevoerd uit de handleiding van TeslaMate, liep je geen risico. Mijn API keys zijn niet gereset geweest, noch heeft Tesla mij verwittigd van een risico.
TeslaMate heeft net een update uit, die een paswoord voor Grafana forceert, en encryptie van de API key. Tesla zelf heeft hun API ook aangepast zodat je niet meer het email adres kan achterhalen. En er is nog een akkefietje dat met een paswoord reset niet alle API keys worden gereset.
Deze jongeman botste hierop aan omdat ie voor een bedrijfje een penetration test moest doen, en botste op een subdomein waar de CTO zijn onbeveiligde Teslamate had draaien...
Ik ben blij dat hij het heeft ontdekt en niet een of andere met andere bedoelingen. Ik ben (nog) geen TeslaMate gebruiker. Daar zal mijn dochter me mee moeten helpen.