无意间发现的网站， 泄漏内容包括：车型及其自定车名、总里程、车机版本及更新历史、充电记录、历史位置、车内外温度、电池健康和车速等，最敏感的是历史位置，而且这些数据都是实时的，在某些情况下，甚至可以绘制出车主的日常生活、确切家庭住址和常去的场所，不过网站只显示了部分信息。
从侧面也可以反映出特斯拉在华销量分布情况。




泄漏来源
车主使用了一个名为 teslamate 的 GitHub 开源项目，该项目会持续查询特斯拉汽车的官方 API，并将其数据可视化，服务端口是 4000，该端口暴露于公网导致任何人可以访问。
泄漏原因
一是上述开源项目自身限制：没有内置身份验证；
二是车主信息安全意识薄弱。
如何防止泄漏
一是在 Web 服务器如 Nginx 启用身份验证；
二是设置防火墙，只允许可信 IP 地址访问或者本地部署然后通过 VPN 访问，不要暴露至公网。

这位来自吉林省长春市的 Model Y 车主，五年 60 个月的免息贷款目前还了 20 期。


声明
仅作整理与翻译，请勿用于非法用途。
©️Medium 用户 s3yfullah