Регуляторы приостановили партнерство с Alibaba, потому что компания сообщила об уязвимости в Log4j разработчикам, а не им.

В среду, 22 декабря, китайские регуляторы приостановили партнерство в сфере обмена информацией с Alibaba Cloud Computing – дочерней компанией e-коммерческого конгломерата Alibaba Group. Как сообщает Reuters, это связано тем, что компания должным образом не исправила и не сообщила регуляторам об опасной уязвимости.

Речь идет о нашумевшей уязвимости в популярной библиотеке журналирования с открытым исходным кодом Apache Log4j2. Министерство промышленности и информатизации Китая обвинило Alibaba Cloud Computing в том, что она не уведомила регулятора о проблеме. В связи с этим министерство временно приостановило сотрудничество с компанией в сфере киберугроз и платформ для обмена информацией. Сотрудничество будет пересмотрено через шесть месяцев и, возможно, продлено, если Alibaba Cloud Computing проведет внутренние реформы.

Уязвимость удаленного выполнения кода в Apache Log4j2, получившая название Log4Shell, была обнаружена специалистами Alibaba Cloud, однако они уведомили о ней только американскую организацию Apache Software Foundation, а Министерство промышленности и информатизации Китая узнало о проблеме от третьей стороны.

Решение министерства приостановить сотрудничество с Alibaba Cloud подчеркивает желание Пекина усилить контроль над ключевой сетевой инфраструктурой и данными во имя национальной безопасности. Правительство Китая попросило государственные компании к следующему году перенести свои данные от частных операторов, таких как Alibaba и Tencent, в поддерживаемую государством облачную систему.

Приостановление сотрудничества также свидетельствует об обеспокоенности Пекина уязвимостью, которая вызвала волну паники среди корпораций и правительств по всему миру.

Источник: securitylab