财报|一个“现代计算机史上最大漏洞”,告诉我们特斯拉中国车主的数据还是存在美国了?( 三 )


不过 , 就在这个微博下面 , 许多不同的解读也在出现 。 这个信息能说明的数据安全的严重性并没有达到“共识” 。 尤其作为聪明人聚集的经常针锋相对的计算机安全领域 , 对于这个结论 , 不同人给出不同的理解 。
有人称 , 这只是一种常规操作 。 “不一定是传输数据 , 可能是调了某个接口 。 ”有人评论 。
一位数据安全人士举了个更通俗的例子:
“比如 , 腾讯要统计全球有多少QQ用户同时在线 , 这时候 , 也会统计到美国用户的对吗?但这时候从美国传到中国的 , 其实只是个统计的在线人数 , 不涉及用户个人信息 。 此时你说中国的腾讯公司是在收集美国数据吗 , 你说是也行 , 说不是也没错 。 ”
具体到特斯拉 , 或者苹果以及其他相似状况的公司 , 他是仅仅调用了一下美国服务器上的服务接口 , 还是真的有用户个人信息的传输 , 也成了判断这些信息流动行为是否合适的关键 。
“这不能证明其他个人信息 , 比如通讯录、短信、照片等 , 也传到了美国 。 并且对方采集个人信息是否是加密传输及存储 , 是否符合相关法规的数据安全生命周期处置规范 , 这些都不是依据当前信息可以判断的 。 ”有安全从业者表示 。
除此之外 , 服务器地址和数据库地址并不一定在同地 。
由于跨海沟通会增加延时 , 公司一般不会这么做 , 但如果没有即时通信需求——比如数据备份——服务器和数据库被放置在两个国家的可能性是存在的 , 另一位开发者表示 。
显然 , 大家对此十分谨慎 。 不过 , 一个事实是 , 从这些截图和操作来看 , 一个包含域名的漏洞测试语句 , 的确从中国传回了美国服务器 。 一名认证为蚂蚁高级安全专家的博主表示 , 从这个截图来看 , 别的数据不知道 , 但车辆的名称数据是肯定传回了美国 。
不远万里把车主的车名数据传回美国 , 这背后不知道是出于什么考虑 。
这显然又让特斯拉中国陷入一个十分敏感又令人困惑的境遇 。 一次针对漏洞的测试却再次让人们意识到 , 特斯拉和特斯拉中国所宣称的数据留存在中国究竟执行的如何、究竟哪些数据依然需要去美国转一圈、以及它们会以什么形式转一圈?可能至今就连特斯拉中国车主们也不清楚 。
在2021年11月已经正式生效的个人信息保护法里 , 这样规定:
第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的 , 应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项 , 并取得个人的单独同意 。除此之外 , 也有不少开发者表示 , 这个在12月13日发布的测试也说明 , 在全世界都在10日就开始加班加点急着补上这个漏洞的时候 , 特斯拉似乎直到13日也还没开始处理这个漏洞 。 有国外媒体引述知名机构Fortress Information Security相关负责人称 , 整个互联网对于这个漏洞的修复工作远未结束 。
“但看看日历表 , 两周后是什么 , 圣诞假期” 。
“由于Apache Log4j2在框架组件和软硬件产品二次开发中应用较为广泛 , CNVD平台建议各厂商单位对开发的软硬件产品和服务进行积极自查 , 重点检查对Apache Apache Log4j2组件的引用情况 , 若发现受此漏洞影响的请立即修复 , 并通知产品用户及时更新 。 ”12月13日 , 国家互联网应急中心也发布公告 , 建议厂商及时自查并通知用户 。
【财报|一个“现代计算机史上最大漏洞”,告诉我们特斯拉中国车主的数据还是存在美国了?】