阿裏雲漏洞事件被罰了多少錢

阿裏雲漏洞事件被罰了多少錢10 2022-01-03 08:21:46

實際上,早在11月24日,阿裏雲安全團隊就向Apache官方報告了Apache Log4j2遠程代碼執行漏洞。

12月7日,Apache Log4j官方發布2.15.0-rc1版本以修複漏洞。

但不知道出于何種原因,阿裏雲並未向國內電信主管部門及時上報。


這導致中國工信部是在收到網絡安全專業機構報告後,才發現Log4j2組件存在嚴重安全漏洞。

12月22日,據21世紀經濟報道消息,近期,工信部網絡安全管理局通報稱,阿裏雲計算有限公司(下稱:阿裏雲)發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患後,未及時向電信主管部門報告,未有效支撐工信部開展網絡安全威脅和漏洞管理。

通報指出,阿裏雲是工信部網絡安全威脅信息共享平台合作單位。經研究,工信部網絡安全管理局決定暫停阿裏雲作爲上述合作單位6個月。暫停期滿後,根據阿裏雲整改情況,研究恢複其上述合作單位。

根據工信部、國家網信辦、公安部聯合印發的《網絡産品安全漏洞管理規定》,網絡産品提供者應當在2日內向工信部報送相關漏洞信息。

而工信部12月9日發現上述漏洞,距阿裏雲首次發現已經過去15天。

12月17日,工信部網絡安全管理局才發布《關于阿帕奇Log4j2組件重大安全漏洞的網絡安全風險提示》。

要知道,今年9月1日,爲落實《網絡産品安全漏洞管理規定》有關要求,工信部網絡安全管理局組織建設的工業和信息化部網絡安全威脅和漏洞信息共享平台正式上線運行。

其中,《網絡産品安全漏洞管理規定》第七條明確指出:

網絡産品提供者應當履行下列網絡産品安全漏洞管理義務,確保其産品安全漏洞得到及時修補和合理發布,並指導支持産品用戶采取防範措施:

(一)發現或者獲知所提供網絡産品存在安全漏洞後,應當立即采取措施並組織對安全漏洞進行驗證,評估安全漏洞的危害程度和影響範圍;對屬于其上遊産品或者組件存在的安全漏洞,應當立即通知相關産品提供者。

(二)應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平台報送相關漏洞信息。報送內容應當包括存在網絡産品安全漏洞的産品名稱、型號、版本以及漏洞的技術特點、危害和影響範圍等。

(叁)應當及時組織對網絡産品安全漏洞進行修補,對于需要産品用戶(含下遊廠商)采取軟件、固件升級等措施的,應當及時將網絡産品安全漏洞風險及修補方式告知可能受影響的産品用戶,並提供必要的技術支持。

工業和信息化部網絡安全威脅和漏洞信息共享平台同步向國家網絡與信息安全信息通報中心、國家計算機網絡應急技術處理協調中心通報相關漏洞信息。鼓勵網絡産品提供者建立所提供網絡産品安全漏洞獎勵機制,對發現並通報所提供網絡産品安全漏洞的組織或者個人給予獎勵。

對于阿裏雲此次未及時上報的行爲,網絡上衆說紛纭。

有網友認爲,“阿裏雲光想著獲得世界聲譽,沒把國內安全當回事。”

尤其是在阿裏雲還是工信部合作單位的前提下,如此大的漏洞竟然沒有上報,實在匪夷所思。

也有網友認爲,不必上升到這個地步,這次大概只是阿裏雲員工內部培訓疏忽了流程而已。

根據阿裏最新發布財報顯示,今年叁季度,阿裏雲營收達200億元。

在過去叁年間,阿裏雲的海外市場規模增長了10倍以上,是亞洲規模最大的雲計算平台。

但是今年以來,阿裏雲在國內便已被官方點名了3次(算上這次)。

今年8月,據浙江省通信管理局通報,經調查核實,2019年11月11日阿裏雲計算有限公司未經用戶同意擅自將用戶留存的注冊信息泄露給第叁方合作公司,已責令阿裏雲計算有限公司改正。

11月,工業和信息化部網絡安全管理局、公安部刑事偵查局聯合約談阿裏雲、百度雲兩家企業相關負責人。

通報了近期兩家企業在防範治理電信網絡詐騙工作中存在的接入涉詐網站數量居高不下等問題。

工信部等部門要求兩家企業切實對相關問題限期予以整改;拒不整改或整改不到位的,將依法依規從嚴懲處。

總而言之,工信部建立網絡安全威脅和漏洞信息共享平台的初衷,本就是維護國內網絡安全。

阿裏雲作爲合作單位,既然加入了這一平台,就應該擔負起自己的責任,爲維護人民群衆財産安全與合法權益出力。

而這次驚心動魄的Log4j2漏洞事件,也無疑給全球開發者敲響了一記警鍾。

下一篇:中國的芯片多久才能搞出來了
上一篇:爲什麽感覺阿裏更偏向全資收購(比如高德、優酷、餓了麽等)而騰訊則偏向投資?
返回頂部小火箭