特斯拉的S3线上资料库遭骇，被植入挖矿程式，连内测车辆资料都外泄

安全公司RedLock 发现 电动车大厂特斯拉的AWS S3线上资料库遭骇被植入挖矿程式，并且可能窃取了汽车资料。

骇客先是入侵特斯拉未以密码保护的容器服务Kubernetes Console，然后由一个Kubernetes pod取得Amazon Web Service 的存取凭证，包括存有汽车遥测资料等隐私资料的Amazon S3 储存贮体的登入帐密。

骇客不仅导致车辆资料曝险，还从特斯拉一个Kubernetes pod中植入挖矿程式。研究人员指出，这个挖矿行为很特殊的是，它用的不是常见的矿池，而是未登录或半公开的端，使一般以IP或域名为基础的威胁侦测服务很难侦测到恶意活动。骇客还将矿池服务器真实的IP位址隐藏在免费的内容递送网路CloudFlare后，它用的是注册CloudFlare后拿到的暂时性新IP，进而提高IP侦测法的难度。

此外，这个挖矿软件听取的不是一般常用的传输埠，使得靠传输埠流量侦测的方法也很难侦测此一软件活动。最后，研究人员发现特斯拉的Kubernetes CPU耗用率并不很高，显示骇客是刻意低调以避人耳目。

特斯拉在获得研究团队通报后已经将该资料漏洞关闭，移除挖矿程式。特斯拉对 Ars Technica表示 ，这项研究是该公司抓漏大赛的涵盖项目，目前应只有内部测试的车辆受到影响，初步调查并没有用户隐私和车辆安全资料被窃取。

在此之前，RedLock也 发现 全球最大智慧卡业者金雅拓及保险业者Aviva的AWS用户遭利用来挖比特币。

为防止自家网站遭人当成挖矿机，研究人员呼吁企业用户应时时监控环境中是否有异常的组态、网路流量及可疑的用户登入行为。