中國阿里巴巴集團旗下阿里雲公司近日因未及時向中共當局報告一個嚴重安全漏洞而遭到懲罰。
據中共工業和信息化部的人士向《中國日報》確認,今年12月22日,中共安全監管部門暫停了阿里雲公司作為工信部網絡安全威脅信息共享平台合作單位的資格6個月。
中共工信部網絡安全局在今年12月17日發布的相關風險提示中稱,阿里雲的客戶、美國阿帕奇公司(Apache)的Log4j2組件存在遠程代碼執行漏洞,這個組件是基於Java語言的開源日誌框架,被廣泛用於業務系統的開發。阿里雲在今年11月24日接到漏洞報告後,將情況告知了阿帕奇軟件基金會,但並未通知工信部。
工信部12月17日發布風險提示稱,該漏洞可能導致設備遠程受控,進而引發敏感信息被竊取、設備服務中斷等嚴重危害,屬於高危漏洞。
12月22日,五眼聯盟(美國、澳大利亞、加拿大、新西蘭和英國五國政府)發布聲明,提醒各國警惕該安全漏洞,並說黑客正利用該漏洞來植入惡意軟件或將設備劫持用於虛擬貨幣的挖礦等。
美國網絡安全和基礎設施安全局 (CISA) 主管珍·伊斯特利(Jen Easterly)將 Log4j 漏洞描述為她職業生涯中「最嚴重的」安全漏洞,並強調存在全球性風險。
事情經過
今年11月24日,阿里雲安全團隊一名員工發現阿帕奇Log4j2組件存在遠程代碼執行漏洞,阿里雲隨即將漏洞情況告知阿帕奇軟件基金會。
阿里雲是中共工信部網絡安全威脅信息共享平台合作單位。根據2021年9月1日實施的《中國網絡產品安全漏洞管理規定》,阿里雲應當在11月26日向中共工信部報告該漏洞。但是,工信部負責網絡安全漏洞的部門直到12月9日才獲知該情況。
並且,該安全漏洞也並非是由阿里雲上告工信部,而是由一家中國網絡安全企業提交,該公司的檢測數據發現多起該漏洞相關的攻擊行為。
據英國國家網絡安全中心(NCSC)說,該漏洞有可能影響全球數百萬台電腦。如果不加以修復,攻擊者可以闖入系統、竊取密碼和登錄信息、提取數據並使用惡意軟件等。該漏洞只需要很少的專業知識就可以利用,是多年來最嚴重的計算機漏洞。
網絡安全公司Check Point說,Log4j被一些最流行的平台使用,包括微軟、推特、蘋果、亞馬遜等大公司使用。
12月23日,阿里雲發文稱,該公司未能及時與工信部共享漏洞信息,是因為在早期未意識到該漏洞的嚴重性。
暫停合作的影響
阿里雲被暫停6個月與工信部的合作之後,當局稱將根據阿里雲的整改情況研究是否恢復合作。受此消息影響,12月22日美股早盤時段,阿里巴巴的美國存託憑證(ADR)大跌逾4%。
鉅亨網報道,第一上海證券策略師Linus Yip表示,因為阿里巴巴的電子商務業務增長空間有限,雲端業務雖然營收占比較小,但卻是為數不多的投資亮點之一。
自2020年10月高位以來,阿里巴巴的股價已下跌約60%。
國企數據被要求轉入「國資雲」
今年9月1日,中共《數據安全法》開始生效,當局進一步加強對大數據的管控。
據今年8月27日路透社的報道,中共天津市政府的一份內部文件顯示,當局要求市政府控制的國有企業,將其數據從阿里巴巴、騰訊控股等私營平台上遷移到政府控制的國資雲(Guoziyun)。最後的轉移期限為2022年9月底。
報道說,天津國有資產監督管理委員會(SASAC)在今年8月12日的一份文件中說,SASAC是遵循中共國務院的要求這麼做的。該文件稱,所有公司都不得與第三方雲平台簽訂新合同、或是繼續租賃協議。@
------------------
負片世界見真實色彩
一起走過20年 共度艱難
✅立即支持訂閱:
https://hk.epochtimes.com/subscribe
✅直接贊助大紀元:
https://www.epochtimeshk.org/sponsors
✅成為我們的Patron:
https://www.patreon.com/epochtimeshk
------------------
📰支持大紀元,購買日報:
https://www.epochtimeshk.org/stores
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column
