Source: Medium — Le chercheur Seyfullah KILIÇ décrit une expérience visant à identifier des déploiements TeslaMate accessibles publiquement et la quantité de données sensibles qu’ils exposent.

Il explique avoir réalisé un balayage à l’échelle d’Internet 🔎 pour repérer les hôtes avec le port 4000 ouvert, ce qui a permis une découverte rapide et massive grâce à une infrastructure multi-serveurs 10 Gbps.

Après détection des hôtes, il a utilisé un outil de fingerprinting HTTP pour confirmer les installations TeslaMate via leur titre par défaut. Cette étape a affiné la liste aux déploiements effectivement identifiés comme TeslaMate.

Un crawler web a ensuite collecté les données exposées. Les résultats montrent que certaines instances permettent de cartographier les routines quotidiennes 🗺️ des véhicules Tesla 🚗, d’identifier des adresses de domicile, des trajets domicile-travail et des lieux fréquemment visités.

En complément, l’auteur souligne qu’on peut aussi retrouver des applications TeslaMate via les domaines en analysant les archives CommonCrawl 🌐, pas seulement par adresses IP.

TTPs observés:

  • Balayage Internet du port 4000 pour la détection initiale
  • Fingerprinting HTTP par titre par défaut de l’application
  • Crawling des tableaux de bord exposés pour collecter les données
  • Recherche additionnelle via CommonCrawl pour identifier des domaines

Il s’agit d’une publication de recherche visant à démontrer l’exposition involontaire de données par des instances TeslaMate mal configurées et les techniques permettant de les découvrir.

🧠 TTPs et IOCs détectés

TTP

Balayage Internet du port 4000, Fingerprinting HTTP par titre par défaut, Crawling des tableaux de bord exposés, Recherche via CommonCrawl

IOC

Aucun IOC spécifique (hash, domaine, IP) n’est mentionné dans l’analyse technique fournie.

🔗 Source originale : https://s3yfullah.medium.com/how-exposed-teslamate-instances-leak-sensitive-tesla-data-80bedd123166