数字化转型|“明知故犯”阿里云:一切美国优先?兜售用户数据,工信部出手了

数字化转型|“明知故犯”阿里云:一切美国优先?兜售用户数据,工信部出手了

文章图片

数字化转型|“明知故犯”阿里云:一切美国优先?兜售用户数据,工信部出手了

文章图片

数字化转型|“明知故犯”阿里云:一切美国优先?兜售用户数据,工信部出手了

身处移动互联网时代 , 网络安全成为重要议题 , 不仅牵涉个人 , 而且也是衡量国家安全和社会稳定的重要指标 。
但是阿里云显然没有充分认识到这一点:在发现高危漏洞Log4j2时 , 阿里云第一时间通知了美国软件开发方阿帕奇(Apache) , 反倒是把我国工信部抛之脑后 。 最近 , 工信部宣布:将暂停和阿里云的合作 , 6个月后视阿里云表现再议是否“再续前缘” 。

这到底是怎么一回事呢?
众所周知 , 美国对我国科技崛起一直十分忌惮 , 为了打压我国科技发展 , 先是封锁华为 , 后又把34家中企加入“黑名单” , 在这种环境下 , 阿里云此举很难不让人起疑心 。
要知道的是 , 阿里云是国内顶流云服务商 , 其市场占有率高达40%左右 , 直逼华为云和腾讯云两者的总和 。 另外 , 阿里云提供的服务涉及到制造、金融、医疗、电信、政务、交通等众多领域和众多企业 , 像12306、中国联通、中国石化等大型企业都和它有长期合作 。 可以说 , 阿里云的版图之大 , 关乎着国计民生 , 这样一家企业 , 必须充分认识到自己肩负的责任之重 。
但是在这次事件中 , 阿里云“明知故犯” , 瞒着不报 , 险些酿成大错 。

11月24日时 , 阿里云就发现了CVSS评分达到最高级的高危漏洞Log4j2 , 并且第一时间告知了美国软件开发方Apache开源社区 。
其实 , 向软件开发商上报漏洞无可指责 , 但是阿里云错就错在没有上报给网信部 。
早在今年7月 , 《关于印发网络产品安全漏洞管理规定的通知》正式下发 , 其中规定 , 如果发现安全漏洞 , 要立即通知产品提供商 , 并且在两天之内 , 告知工信部的网络安全威胁和漏洞信息共享平台 。 阿里云11月24日发现了漏洞 , 网信部到了12月9日才通过公开报道的新闻得知 。 网络安全拼的就是速度 , 网信部知道的时候 , 已经过去了15天 。
要知道的是 , Log4j2漏洞的CVSS评分高达10分 , 严重程度是最高级 。 这么说大家可能觉得抽象 , 不如给大家举个例子:2017年 , WannaCry勒索病毒席卷全球 , 它通过漏洞“永恒之蓝”高速传播 , 超过150个国家的基础设施、学校、社区、企业被重创 , 大约有30万用户受到影响 , 总计造成了80亿美元的经济损失 。 而这次的Log4j2漏洞 , 比WannaCry严重得多 , 攻击者只需要提交一段代码 , 就能黑入服务器 。 再简单点 , 如果阿里被攻击 , 支付宝里的钱 , 安不安全就不好说了 。

也正因问题的严重性 , 工信部点名批评阿里云:不仅摘掉了阿里云官方合作单位的名号 , 还暂停了与阿里云的合作 , 6个月后合作与否 , 还得根据阿里云的表现决定 。
实际上 , 这并不是阿里云第一次挨批评 , 之前阿里云就因为涉及兜售用户信息给第三方 , 被用户多次投诉 。
有滴滴这个前车之鉴 , 将7亿用户信息和我国道路信息兜售给美国 , 从去年6月至今依然在调查中 , 阿里云应该引以为戒 , 毕竟阿里云一直是阿里的希望 , 在科创和营收两方面 , 都是阿里的“顶梁柱” 。

在科创方面 , 阿里云自主研发的“飞天”操作系统能把百万级的多个服务器连接到一台电脑上 , 为用户提供高速运算 , 这个系统也成为了最世界顶尖的系统之一;还有在不久之前 , 国际知名咨询机构Gartner发布了最新的报告 , 阿里云超过了亚马逊、微软等对手 , 一举拿下计算、储存、网络和安全四个领域的第一 。 在营收方面 , 阿里虽然业绩不断下滑 , 但阿里云的表现却十分亮眼 , 2020年营收超过600亿 , 仅仅是今年第三季度 , 阿里云就为阿里创下了超200亿的营收 , 2021全年有望突破800亿 。