阿里雲知“漏”不報？_風聞

出品©一筆封禪

作者@何鯨洛

4月，因為壟斷被罰182億。

8月，因為高管猥褻員工被圍光明頂。

9月，螞蟻折戟之後花唄納入徵信成為“正規軍”。

12月6日。

因為桃色事件被雪藏的前太子蔣凡“戴罪釋放”，準備開拓海外市場。

本以為阿里的水逆之年到此為止。

不曾想。

12月22日。

阿里雲發現嚴重漏洞未及時報告，阿里雲被暫停工信部網絡安全威脅信息共享平台合作單位6個月。

①阿里雲知“漏”不報？▽

事情經過如下。

11月24日。

阿里雲在Web服務器軟件阿帕奇（Apache）下的開源日誌組件Log4j內，發現重大漏洞Log4Shell，然後向總部位於美國的阿帕奇軟件基金會報告。

12月9日。

中國工信部收到有關網絡安全專業機構報告，發現阿帕奇Log4j2組件存在嚴重安全漏洞，立即召集阿里雲、網絡安全企業、網絡安全專業機構等開展研判，並向行業單位進行風險預警。

同一天。

阿帕奇官方發佈緊急安全更新以修復遠程代碼執行漏洞，漏洞利用細節公開，但更新後的Apache Log4j 2.15.0-rc1版本被發現仍存在漏洞繞過。

12月10日。

中國國家信息安全漏洞共享平台收錄Apache Log4j2遠程代碼執行漏洞；阿帕奇官方再度發佈log4j-2.15.0-rc2版本修復漏洞。

同一天。

阿里雲在官網公告披露，安全團隊發現Apache Log4j 2.15.0-rc1版本存在漏洞繞過，要求用户及時更新版本，並向用户介紹該漏洞的具體背景及相應的修復方案。

12月11日。

美聯社報道，中國阿里雲安全團隊在Web服務器軟件阿帕奇（Apache）下的開源日誌組件Log4j內，發現一個漏洞Log4Shell。

12月14日。

中國國家信息安全漏洞共享平台發佈《Apache Log4j2遠程代碼執行漏洞排查及修復手冊》，供相關單位、企業及個人參考。

12月17日。

工信部發布《關於阿帕奇Log4j2組件重大安全漏洞的網絡安全風險提示》，其中提到，阿帕奇（Apache）Log4j2組件是基於Java語言的開源日誌框架，被廣泛用於業務系統開發。

12月22日。

工信部通報，由於阿里雲發現阿帕奇嚴重安全漏洞隱患後，未及時向電信主管部門報告，未有效支撐工信部開展網絡安全威脅和漏洞管理，決定暫停該公司作為工信部網絡安全威脅信息共享平台合作單位6個月。

至於何時恢復和阿里雲的合作？

工信部表示，在暫停期間結束後，會根據阿里雲公司的整改情況，從而進一步研究恢復合作事項。

到現在還有人糾結：

阿里雲發現了漏洞，應該先給通報給阿帕奇，還是工信部？

根據公開資料：

此次被阿里雲安全團隊發現漏洞的Apache Log4j2是一款開源的Java日誌記錄工具，控制Java類系統日誌信息生成、打印輸出、格式配置等，大量的業務框架都使用了該組件，因此被廣泛應用於各種應用程序和網絡服務。

有專業人士表示：

這一漏洞可以讓網絡攻擊者無需密碼就能訪問網絡服務器。

美聯社等外媒在獲取消息後評論稱：

這一漏洞可能是近年來發現的最嚴重的計算機漏洞。

由於該漏洞在全行業中乃至政府的雲服務器和企業軟件中“無處不在”，甚至犯罪分子、間諜乃至編程新手，都可以輕易使用這一漏洞進入內部網絡，竊取信息、植入惡意軟件和刪除關鍵信息等。

如此大的漏洞。

甚至可以輕易威脅甚至破壞現在的網絡生態？

工信部作為阿里雲的合作單位。

此前甚至一無所知。

還是在半個月後才通過其它的網絡安全機構知道這件事情。

可見此次問題：

並不是阿里雲有沒有更早通知工信部，應不應該通知工信部，工信部又能做些什麼？

而是阿里雲的“國家安全意識”欠缺。

7月12日。

工信部刊發了《網絡產品安全漏洞管理規定》。

明令於9月1日起施行。

《網絡產品安全漏洞管理規定》，國內安全研究人員發現漏洞之後報送CNVD即可，CNVD會發起向CVE報送流程，協調廠商和企業修復安全漏洞，不允許直接向國外漏洞平台提交。

這也就罷了。

其中：

第七條（二）規定，漏洞發現者應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平台報送相關漏洞信息。

第九條（一）規定，不得在網絡產品提供者提供網絡產品安全漏洞修補措施之前發佈漏洞信息；認為有必要提前發佈的，應當與相關網絡產品提供者共同評估協商，並向工業和信息化部、公安部報告，由工業和信息化部、公安部組織評估後進行發佈。

第九條（七）規定，不得將未公開的網絡產品安全漏洞信息向網絡產品提供者之外的境外組織或者個人提供。

阿里雲遵守了哪一條？

②阿里雲的“紅與黑”？▽

2019年12月。

阿里雲峯會廣東期間，阿里巴巴副總裁、阿里雲智能數字政府事業部總裁許詩軍表示，目前阿里雲已成為中國數字政府大數據整體市場第一，也是數字政府大數據基礎平台軟件市場第一。

據瞭解。

阿里合作了海關總署、國税總局、人社部等國家部委20多個，合作全國省市區30個，覆蓋全國城市442個，包括服務內容1000+項，累計服務9億人。

2020年。

疫情期間，全國28個省市與阿里雲合作建設數字防疫系統，健康碼在200多個城市上線，數字技術極大提升了防疫效率。在阿里雲的支撐下，1.8億學生在家上課、2億上班族在家辦公，保障了社會經濟正常運轉。

12月。

國際權威機構Gartner發佈最新報告，全面評估全球頂級雲廠商整體能力。

阿里雲IaaS基礎設施能力拿下全球第一，在計算、存儲、網絡、安全四項核心評比中均斬獲最高分，這也是中國雲首次超越亞馬遜、微軟、谷歌等國際廠商。

不可否認的是：

阿里雲已經逐步潛入了我們生活的方方面面，國際戰略也初有成效。

但與此同時。

2021年7月。

阿里雲曾因2019年未經用户同意，擅自將用户留存的註冊信息泄露給第三方合作公司，被浙江省通信管理局通報。

8月。

阿里雲回應泄露用户註冊信息：系一電銷員工違反紀律，已處理。

更有意思的是：

阿里雲之前通報漏洞還是以團隊個人的身份。

這種感覺？

是不是熟悉的味道？

③阿里風波不斷？▽

2020年3月。

針對美國打壓華為，而不收拾騰訊、阿里？

金一南給出了答案：

因為騰訊和阿里是在美國搭建的基礎架構之上的上層應用，只能在美國構建的這些底層架構中進行二次開發。

但華為是在搞基礎架構，美國人不允許。

9月。

宗慶後曾當眾質問馬化騰，服務器在哪兒？

馬化騰繞了半天。

説了個寂寞。

當此之際。

中美關係越來越敏感。

阿里雲作為一家根植於中國本土的企業，還深度參與到了商業、基建和政府工作。

這都年底了。

居然玩了這麼一手。

看來不只是企業文化，就連國家安全意識也出了問題。