阿里云发现阿帕奇(Apache)Log4j2组件严重安全漏洞,却第一时间报告美国!
工业和信息化部网络安全管理局通报称,阿里云计算有限公司是工信部网络安全威胁信息共享平台合作单位。
近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。
经研究,现暂停阿里云公司作为上述合作单位6个月。
暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
阿里云做错了什么?
阿里云11月24日就发现了上述漏洞,而这个漏洞被认为可能是“计算机历史上最大的漏洞”,随后其率先向阿帕奇软件基金会(即软件的运维方)披露了该漏洞,但并末及时向工信部通报相关信息。随后,奥地利和新西兰官方的计算机应急小组率先对这一漏洞进行预警,而中国工信部是在收到网络安全专业机构报告后,才发现阿帕奇Log4j2组件存在严重安全漏洞。
的确,作为漏洞发现、收集、披露等活动的组织或个人,阿里云首先发现了漏洞,是漏洞发现的组织。这个身份的义务是按规定规范流程来公开漏洞,且不能报送给除产品提供者的境外组织。阿里云遵守了漏洞发现组织的流程和义务。
根据《网络安全法》,网络服务方发现其网络产品、服务存在安全缺陷、漏洞,应当按照规定及时向有关主管部门报告。
而且,阿里云作为网络产品安全漏洞收集平台,阿里云是工信部网络安全威胁信息共享平台合作单位。在这个合作单位的身份下,阿里云“未有效支撑工信部开展网络安全和漏洞管理”,如果按照约定,阿里云应当在2日内向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞。而阿里云没有在约定时间报备。这才是阿里云这次被暂停信息共享平台的合作原因。
这件事情很严重
目前中美形势十分紧张,美国对我国网络攻击持续渗透中,国安、部委正在排查我国资产是否受到境外攻击,造成信息被窃取或者服务器、系统被植入木马等损失。
阿里云的问题是把这个武器提交给了阿帕奇(Apache)基金会,却没有向工信部提交,这不仅仅是个政治错误,关键是还有可能涉及法律问题。
工信部生气那是肯定的了,而且是暴跳如雷那一种。啥叫信息共享平台啊?就是大家都把漏洞提交到这里,做到群防群治,维护了自己利益,也维护行业利益,更维护国家利益。
美国方面可能也会很生气,阿里云发现了这个漏洞,等于作废了一个网络武器。所以阿里云此举两头不讨好。
发现重大漏洞,第一时间通报美国人,却不向国家通报。阿里云究竟是谁的云?究竟是哪国的云?
这个事件的性质相当于,发现新疫情之后,不按规定上报国家防疫部门,却第一时间向美国通报。
你说严重不严重?
如果时光倒流,阿里云将此事首先报给国家,一切会不一样,国家会由被动变为主动。
作为一个企业,理应有社会责任感,有担当。希望阿里云引以为戒。