您好!今天是:2025年-4月23日-星期三
吉爾:工信部處罰阿里云!發現安全漏洞先報美國,阿里第二發動機停擺
點擊:6021 作者:吉爾 來源:易簡財經 微信號 發布時間:2021-12-23 10:22:05
阿里云發現的核彈級別的系統漏洞,第一反應不是上報工信部,而是報給了國外。過了半個月,工信部收到報告才知道......
1
阿里云被工信部暫停合作
12月22日,工業和信息化部網絡安全管理局通報稱,阿里云被暫停工信部網絡安全威脅信息共享平臺合作單位6個月。
公告顯示,阿里云發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患后,未及時向電信主管部門報告,未有效支撐工信部開展網絡安全威脅和漏洞管理。經研究,現暫停阿里云公司作為上述合作單位6個月。暫停期滿后,根據阿里云整改情況,研究恢復其上述合作單位。
據了解,阿帕奇(Apache)Log4j2組件是基于Java語言的開源日志框架,被廣泛用于業務系統開發。該漏洞可能導致設備遠程受控,進而引發敏感信息竊取、設備服務中斷等嚴重危害,屬于高危漏洞。
這個漏洞究竟有多恐怖,舉個例子,攻擊者可以利用漏洞遠程執行代碼,最終獲得服務器的最高權限。相當于,我在你家,想干什么,就干什么。
一位業內人士這樣戲稱,這個漏洞的嚴重性堪稱今年之最,災難等級為核彈級。這次事件幾乎波及了所有互聯網大廠,面對著核彈級別的漏洞,全網顫抖,各家公司領導都非常重視,“安全人”全體加班,積極更換jar包,升級版本,第一時間防御住漏洞利用,場面真的熱鬧非凡。甚至連網警都出動,通知各大公司和站長。
但早早發現這事的阿里云,在發現以后,第一時間的反應,不是上報工信部,而是把這個漏洞告訴了國外。
2
提前15天就發現了漏洞
其實,早在11月24日,阿里云的安全團隊就發現了該漏洞,但沒有選擇上報工信部,而是把漏洞報告給了美國 Apache 官方。
隨后,在12月7日,Apache官方發布了針對此漏洞的補丁版(log4j-2.15.0-rc1),但這個補丁版并沒能起到多大的作用,在12月9日,開始有程序員發現,網絡中出現了大量利用此漏洞的攻擊行為。
到這個時候,工信部才知道,阿帕奇Log4j2組件存在重大安全漏洞,立即組織有關網絡安全專業機構開展漏洞風險分析,召集阿里云、網絡安全企業、網絡安全專業機構等開展研判,通報督促阿帕奇軟件基金會及時修補該漏洞,向行業單位進行風險預警。
要知道,根據工信部、網信辦、公安部《關于印發網絡產品安全漏洞管理規定的通知》中,明確規定,應當在2日內,向工業和信息化部、網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。報送內容應當包括,存在網絡產品安全漏洞的產品名稱、型號、版本,以及漏洞的技術特點、危害和影響范圍等。
也就是說,當發現漏洞的第一時間,你可以報給Apache,但同時也要報給工信部。而阿里,隔了半個月還沒上報,是工信部自己發現的,這就有點離譜了,也難怪工信部處罰它。
3
網友:甚至覺得處罰輕了
如今,阿里云被工信部點名批評,但很多網友卻表達了不滿,不是因為別的,而是覺得,處罰輕了。
有網友表示,要知道,這個核彈級的漏洞,你阿里云提前半個月發現了,但是就一直不上報給工信部,若這要是被國外黑客利用,后果不堪設想。
之前美國就曾出現過類似的事件,在2020年12月,美國SolarWinds公司的Orion軟件更新服務器上,存在一個被感染的更新程序,導致美國財政部系統等約18000家關鍵基礎設施、聯邦機構和企業受到影響,部分受影響設備甚至可由攻擊者完全操控。
還有網友表示,漏洞最怕的就是打時間差進行攻擊。網絡戰爭和現實戰爭最大的差別就是,不需要調兵遣將,準備時間可以忽略不計。分分鐘,看不到摸不到的網絡攻擊就有可能從大洋彼岸到達種花家。在漏洞被公開的時候,說不準哪個科研院所或者核心部委已經被入侵過了。
以2017年的永恒之藍為例,這種工具可以通過漏洞獲取系統最高權限,不法分子利用“永恒之藍”制作了wannacry勒索病毒,對英國、俄羅斯、整個歐洲以及中國國內多個高校校內網、大型企業內網和政府機構專網進行攻擊,勒索支付高額贖金才能解密恢復文件。
4
阿里的第二發動機
如今,阿里云可謂是阿里巴巴的第二發動機。
根據阿里最新發布財報顯示,今年三季度,阿里云營收達200億元,比上一財年150億元收入大幅增長33%。同時,阿里云歷經十多年投入,實現穩定盈利。該季度內,經調整EBITA利潤3.96億元,是阿里云連續第四個季度實現盈利。
對比歷史數據,2015財年,阿里巴巴首次披露云計算營收,當年阿里云全年收入為12.71億元,到2021財年一季度營收200億元,成長性可見一斑。并且,阿里云的營收,已經僅次于中國零售商業,是名副其實的阿里第二引擎。
此外,阿里云在海外市場上獲得了高速增長。數據顯示,過去三年間,阿里云的海外市場規模增長了10倍以上。隨著市場規模擴大,阿里云的海外基礎設施布局愈加緊密,今年將在韓國及泰國新增兩座云數據中心,以支持當地爆發的數字化需求。
截至目前,阿里云已在馬來西亞、新加坡、印尼、菲律賓、日本、德國、迪拜、美國等25個地域建立了數百座云數據中心,是亞洲規模最大的云計算平臺。據Gartner,阿里云是全球第三、亞太第一的云計算服務商,在全球市場上實現連續五年份額擴大。
5
問題不斷的阿里云
但是,即使做得這么大,阿里云還是老出問題,光是今年就已經被約談了兩次。
今年8月,據浙江省通信管理局通報,經調查核實,2019年11月11日阿里云計算有限公司未經用戶同意擅自將用戶留存的注冊信息泄露給第三方合作公司,已責令阿里云計算有限公司改正。
今年11月,工業和信息化部網絡安全管理局、公安部刑事偵查局聯合約談阿里云、百度云兩家企業相關負責人,通報了近期兩家企業在防范治理電信網絡詐騙工作中存在的接入涉詐網站數量居高不下等問題,要求兩家企業切實履行網絡與信息安全主體責任,嚴格落實《網絡安全法》等法律法規要求,對相關問題限期予以整改;拒不整改或整改不到位的,將依法依規從嚴懲處。
此次事件,工信部對阿里的處罰,更多的其實是讓大家對于網絡安全、和網絡信息的保密性更加重視。為什么工信部要和各大互聯網公司,一起弄一個網絡安全威脅信息共享平臺,就是因為安全信息的送達是分秒必爭的,如果安全漏洞在被發現之后先被攻擊者知曉,就會造成不可挽回的損失。
而阿里云,卻因為自身疏忽沒好好配合,盡到自己合作方的義務。如今被罰,也是自作自受了。(部分綜合自知乎)
作者:吉爾 來源:易簡財經
責任編輯:向太陽
特別申明:
1、本文只代表作者個人觀點,不代表本站觀點,僅供大家學習參考;
2、本站屬于非營利性網站,如涉及版權和名譽問題,請及時與本站聯系,我們將及時做相應處理;
3、歡迎各位網友光臨閱覽,文明上網,依法守規,IP可查。
作者 相關信息
? 昆侖專題 ?
? 高端精神 ?
? 新征程 新任務 新前景 ?
? 習近平治國理政 理論與實踐 ?
? 我為中國夢獻一策 ?
? 國資國企改革 ?
? 雄安新區建設 ?
? 黨要管黨 從嚴治黨 ?
熱點排行
建言點贊
圖片新聞
