报告顺序很重要:阿里云被暂停工信部下属网络安全平台合作单位,未及时报告安全漏洞

2021-12-23 208

近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。

阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。

据了解,工信部网络安全威胁和漏洞信息共享平台于2021年9月1日正式上线运行。平台由中国信息通信研究院会同国家工业信息安全发展研究中心、中国软件评测中心、中国汽车技术研究中心等国家网络安全专业机构共同建设。平台包括通用网络产品安全漏洞专业库、工业控制产品安全漏洞专业库、移动互联网APP产品安全漏洞专业库、车联网产品安全漏洞专业库等,支持开展网络产品安全漏洞技术评估,督促网络产品提供者及时修补和合理发布自身产品安全漏洞。

官网显示,工信部网络安全威胁信息共享平台合作单位共有33家,包括中国电信、中国移动、中国联通、阿里云、腾讯、奇安信、京东、360、百度等。

公开资料显示,阿里云成立于2009年9月10日,由阿里巴巴集团投资创办,在杭州、北京和硅谷等地设有研发中心和运营机构。经过多年的实际生产运行的检验和双十一的海量业务冲击,阿里云成为国内第一个可用、可靠、可信的云计算平台。阿里云的目标是要基于云计算和大数据技术打造互联网数据分享的第一平台,成为以数据为中心的领先的云计算服务公司。

阿里巴巴2022财年Q2(实为2021年第三季度)财报显示,阿里云收入同比增长33%至200.07亿元,连续四个季度盈利。

今年11月,工业和信息化部网络安全管理局、公安部刑事侦查局联合约谈阿里云、百度云两家企业相关负责人,通报了近期两家企业在防范治理电信网络诈骗工作中存在的接入涉诈网站数量居高不下等问题,要求两家企业切实履行网络与信息安全主体责任,严格落实《网络安全法》等法律法规要求,对相关问题限期予以整改;拒不整改或整改不到位的,将依法依规从严惩处。两家企业表示将认真落实监管要求,进一步加强网站接入、域名注册、信息服务等管理,切实防范化解电信网络诈骗风险。

今年8月,据浙江省通信管理局通报,经调查核实,2019年11月11日阿里云计算有限公司未经用户同意擅自将用户留存的注册信息泄露给第三方合作公司,阿里云计算有限公司的行为违反了《中华人民共和国网络安全法》第四十二条规定,根据《中华人民共和国网络安全法》第六十四条规定,已责令阿里云计算有限公司改正。

今年7月,北京天特信科技有限公司(简称“IPIP.net”)状告阿里云涉嫌侵害计算机软件著作权。该案件目前已经受理。IPIP.net认为,阿里云的行为已直接违背了《反不正当竞争法》第八条、第十一条、第十二条第二款第四项和第二条等相关规定,应承担相应法律责任。

今年2月,射手科技(珠海)有限公司(简称“自记账”)以侵害公司著作权为由将阿里云告上法庭,称阿里云全面抄袭了自记账产品。射手科技指出,阿里云在创意、页面设计、产品使用教程上与自记账高度相似。

本文源自中华网财经

招商