近日，网络安全研究员Seyfullah KILIÇ发现，由于TeslaMate配置错误，导致数百个公开安装的实例在未认证情况下泄露特斯拉车辆的敏感数据，包括GPS坐标、充电记录、车型信息及软件版本等。TeslaMate是一款特斯拉车主常用的开源工具，用于连接特斯拉API并实现车辆数据监控。研究显示，漏洞源于其默认配置缺乏身份验证机制，且部分服务暴露于公网4000端口，极易被扫描访问。研究人员通过masscan与httpx技术确认了大量暴露实例，并建立teslamap.io网站以展示泄露车辆的地理分布。专家建议用户立即配置反向代理认证、限制端口访问，以防范数据外泄风险。