阿里又出事了!发现网络安全漏洞,不上报工信部,却通知外国机构
近日,一则消息引发关注:阿里云在发现一个重要的网络安全漏洞后,并未首先向中国的工信部上报,而是通知了外国机构。 该漏洞涉及Apache Log4j2组件,这是一个广泛使用的Java日志框架。阿里云在11月24日发现了这个漏洞,但直到工信部从网络安全专业机构那里得知这一情况,才意识到问题的严重性。
在阿里向他们披露漏洞后,奥地利和新西兰官方的计算机应急小组率先对这一漏洞进行预警,而中国工信部是在收到网络安全专业机构报告后,才发现阿帕奇Log4j2组件存在严重安全漏洞。
前段时间 阿里云发现了代号为Log4j2的高危漏洞 ,通过CVSS评分,阿里发现这个 漏洞危险系数高达10分 ,这可以说是阿里云有史以来评分最高的高危漏洞。一旦这个漏洞被黑客所利用不仅 会给阿里造成难以弥补的损失 ,同时也 会 给国家和 社会 造成难以估量的伤害 。
阿里发现的那个漏洞,可以被称为计算机 历史 上最大的漏洞-核弹级漏洞,这个漏洞比较普遍,黑客可以通过这个漏洞在服务器上做任何事。 开发者收到阿里提交的漏洞和开发者核实后发布安全警报并修补漏洞之间有一段空窗期,这段时间越短对网络安全越好。
昨天,阿里云因为未依法及时向工信部报告发现的安全漏洞信息,被工信部决定暂停6个月阿里云的工信部网络安全威胁信息共享平台合作单位。 随即,阿里美股暴跌21%,预计接下来还将继续下跌。 就在今天,阿里云发布说明,表示将强化漏洞管理、提升合规意识,积极协同各方做好网络安全风险规范工作。
腾讯称该公司已将QQ安全模块代码交由第三方机构检测,以证清白。 三是“抵制违法行为”。腾讯认为360“扣扣保镖”属于“‘外挂’这种非法手段”:“360已经在用户电脑桌面上对Q Q发起了劫持和破坏。我们本可以选择技术对抗,但考虑再三,我们还是决定不能让您的电脑桌面成为‘战场’,而把选择软件的权力交给您。
阿里云未及时通报重大网络安全漏洞,会带来什么后果?
然而,阿里云在发现这个“过去十年内最大也是最关键的单一漏洞”后,并没有按照《网络产品安全漏洞管理规定》第七条要求,在2天内向工信部网络安全威胁和漏洞信息共享平台报送信息,而只是向阿帕奇软件基金会通报了相关信息。
漏洞银行联合创始人、CTO张雪松向观察者网指出,Log4j2组件在java类系统中应用极其广泛,漏洞危害可以迅速传播到各个领域。由于阿里云未及时向中国主管部门报告相关漏洞,直接造成国内相关机构处于被动地位。
阿里云的失误可能导致严重的后果。鉴于此情况严重性,工信部严厉批评了阿里云并暂停与其合作。阿里云作为国内云计算行业的领军企业之一,肩负着巨大的社会责任。然而,此次事件暴露出其在网络安全意识方面的不足。除了此次漏洞事件外,阿里云还曾因涉及兜售用户信息给第三方而受到多次投诉。
该漏洞可以被犯罪分子或者网络黑客用于强制安装恶意程序、传播病毒并且植入木马等。而且系统漏洞很容易导致计算机上的关键信息和信息内容被盗,严重的情况会导致实际操作系统被破坏,计算机上的所有数据和信息都会丢失。
由于阿里云在发现漏洞后未能及时向工信部报告,工信部决定暂停与阿里云的信息共享平台合作。这一决定反映了监管部门对网络安全的严格要求,以及对网络产品提供者责任的高度重视。 阿里云在暂停合作期间将进行整改,整改完成后,工信部将重新评估是否恢复与阿里云的合作。
阿里云因未及时上报漏洞被处罚了,具体是被如何处罚的?
1、阿里云因未及时上报漏洞被工信部作出处罚暂停列入合作单位六个月,待处罚期满后再决定是否跟阿里云继续合作。这样的处罚可以说是对阿里云的一个警示,在国家反垄断的大背景下,阿里云失去了跟工信部的合作关系,对其承接国家项目尤其是一些国企的项目会带来严重影响。
2、阿里云的失误可能导致严重的后果。鉴于此情况严重性,工信部严厉批评了阿里云并暂停与其合作。阿里云作为国内云计算行业的领军企业之一,肩负着巨大的社会责任。然而,此次事件暴露出其在网络安全意识方面的不足。除了此次漏洞事件外,阿里云还曾因涉及兜售用户信息给第三方而受到多次投诉。
3、阿里云因未及时报告严重漏洞被处罚,阿里云在中国云市场上占据着重要地位,阿里云在2021年第三季度以33%的份额领先中国大陆市场,阿里云因未及时报告严重漏洞被处罚。
4、业内人士向观察者网指出,工信部这次针对是阿里,其实也是向国内网络安全行业从业人员发出警示。从结果来看对阿里的处罚算轻的,一是没有踢出成员单位,只是暂停6个月。二是工信部没有对这次事件的安全研究人员进行个人行政处罚或警告,只是对直接向国外CVE报送的Log4j漏洞的那个安全专家点名批评。
5、阿里云一名研发工程师发现Log4j2 组件的一个安全bug,遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞,并向全球发布修复补丁。随后,该漏洞被外界证实为一个全球性的重大漏洞。阿里云称,因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。
6、只是遵守了行业规定,个人也相信阿里云不会明知条款而不去执行。所以要加强对条款的认知理解。警钟长鸣 这次的事件虽然是处罚阿里云,但是对别的企业也有一定的震慑作用,要牢记国家的法律规定是第一位的。你觉得阿里云未及时上报漏洞被工信部处罚,此次处罚起到了怎样的警示作用?欢迎留言讨论。
