这是一个安全意识问题。

1

阿里云被点名

发现安全漏洞先报美国？

一则通报再次将阿里送上了热门。

12月22日，工业和信息化部网络安全管理局通报称，阿里云被暂停工信部网络安全威胁信息共享平台合作单位6个月。

在外界看来，这是阿里云被中央部委点名通报。根据通报内容，原因在于，近期阿里云发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。

消息一出，12月22日当天，阿里巴巴港股股价高开低走持续低迷，市值哗啦啦地蒸发。

这么一出给阿里整得够呛，我们来还原一下事情经过。

首先了解一下背景，Apache Log4j2是阿帕奇软件基金会旗下的一款日志记录工具，是基于Java语言的开源日志框架，被广泛用于业务系统开发。阿帕奇软件基金会是专门为支持开源软件项目而办的一个非盈利性组织，总部位于美国马里兰州。

11月24日，阿里云在Apache Log4j内，率先发现了重大漏洞Log4Shell，然后，第一时间向总部位于美国的阿帕奇软件基金会报告。这事，前段时间还被媒体吹了一番“史上最大漏洞，被中国程序员发现”。

紧接着，12月9日，中国工信部收到有关网络安全专业机构报告，发现阿帕奇Log4j2组件存在严重安全漏洞，立即召集阿里云、网络安全企业、网络安全专业机构等开展研判，并向行业单位进行风险预警。

同一天，阿帕奇官方发布紧急安全更新以修复远程代码执行漏洞，漏洞利用细节公开，但更新后的Apache Log4j 2.15.0-rc1版本被发现仍存在漏洞绕过。

再然后，就是阿帕奇官方不断修复漏洞，并在全球程序员世界掀起一场讨论潮。

注意时间顺序：

11月24日，阿里云团队发现漏洞——第一时间，阿里云报告给阿帕奇软件基金会——12月9日，工信部才收到漏洞报告。

也就是说，阿里云发现漏洞后，第一时间没有上报工信部，而是把这个漏洞告诉了国外。过了15天之后，作为相关主管部门的工信部，还是通过公开信息，才知道漏洞的存在。

阿里云的这波操作，确实有点迷。

2

阿里云冤不冤？

这事出来后，有人提出了一个问题：

阿里云发现了漏洞，应该先通报给阿帕奇，还是工信部？

根据业内人士的说法，从技术角度来说，阿里云发现漏洞后，可以提交给产品提供者（也就是阿帕奇），但与此同时，中国工信部、网信办、公安部《关于印发网络产品安全漏洞管理规定的通知》中，明确规定：

应当在2日内，向工业和信息化部、网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括，存在网络产品安全漏洞的产品名称、型号、版本，以及漏洞的技术特点、危害和影响范围等。

也就是说，发现漏洞后，阿里云可以报给阿帕奇，但也要同时报给工信部。但工信部时隔15天才知道这个漏洞，而且还是自己从公开信息中知道的，这显然不符合规定。

更关键的一点是，阿里云还是工信部网络安全威胁信息共享平台合作单位。这个平台于2021年9月1日正式上线运行，合作单位基本里包含了各大互联网公司。

国家之所以搞这个平台，就是希望各家能及时报送相关漏洞信息。要知道，在信息安全领域，晚一秒钟，就有可能造成不可挽回的损失。这也正是阿里被工信部处罚的关键，这个头不能开。

现在回过头来看，有关部门估计得惊出一身冷汗。

工信部网络安全管理局之前提到，阿帕奇Log4j2这次的漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。业内人士甚至把它称为“计算机史上最大漏洞”。

这个漏洞，在全球网络安全界掀起了一场大震荡。美国国家安全局、德国电信CERT、中国国家互联网应急中心（CERT/CC）等，多国安全机构，相继发出警告。包括苹果、亚马逊、特斯拉、谷歌、百度、腾讯、网易、京东、Twitter、Steam等平台在内的服务器，都证实了，有被攻击的风险。

有关报道显示，黑客在72小时内利用Log4j2漏洞，向全球发起了超过84万次的攻击。

利用这个漏洞，黑客们几乎可以获得无限的权利。有网友做了一个形象的比喻：

“相当于获得了你家的钥匙，进去想干嘛就干嘛。”

这半个月，如果有心人利用漏洞发起攻击，影响的范围将堪比2017年“永恒之蓝”病毒。当年，不法分子正是利用“永恒之蓝”制作了wannacry勒索病毒，对英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网进行攻击，勒索支付高额赎金才能解密恢复文件。

网络安全漏洞，打的就是时间差。足足15天时间，我们的某些科研院所，或者核心位置，是否一直暴露在危险范围内？难怪有网友调侃阿里云：

往小了说，这是漏报信息；往大了说，这是缺乏国家安全意识。

3

阿里的“第二增长引擎”

安全问题值得重视

说起来，阿里云也不是第一次面临质疑。

今年8月份，经济观察报就曾报道过，有阿里云用户反馈多次接到与阿里云相关的第三方推销电话，对方能准确说出用户姓名，以及用户阿里云上服务器上使用的公司名称，这已经涉嫌用户隐私泄露。

更早的时候，网上流传着一份浙江省通信管理局答复投诉事项函，其中提到，经调查核实，2019年11月11日阿里云计算有限公司未经用户同意擅自将用户留存的注册信息透露给第三方合作公司。

另一边，如今的阿里云，已经长成了一个“巨人”。

12月11日，研究机构Canalys发布的2021年第三季度中国云服务市场报告显示，国内云市场中，阿里云依旧遥遥领先，占比38.3%位居第一。身后是华为云、腾讯云和百度智能云。

根据阿里发布的财报，2021财年，阿里云营收达601.2亿元，比上一财年400亿元收入大幅增长50%。

对比历史数据，2015财年，阿里巴巴首次披露云计算营收，当年阿里云全年收入为12.71亿元，到2021财年营收601.2亿元，7年间增长46倍。时至今日，阿里云的营收，已经仅次于中国零售商业，是名副其实的阿里第二引擎。

不可否认的是，在云技术领域，无论是计算、存储还是网络，阿里云确实已经站在全球第一梯队，不逊色于亚马逊、微软、谷歌等国际厂商。

也正因此，在过去的数年，阿里云已经深度参与国家建设，渗透到我们生活的方方面面。

根据公开的数据，阿里云已经合作了海关总署、国税总局、人社部等国家部委20多个，合作全国省市区30个，覆盖全国城市442个，包括服务内容1000+项，累计服务9亿人。

政府、金融系统、国计民生……从国家大事到百姓生活，到处都有阿里云的身影。

试想，这么一个庞大的数据组织，如果数据安全得不到保证、如果发现漏洞就先向国外报告，谁敢放心呢？

4

尾声

把视野放大一点来看，阿里这两年过得着实不算太平。

2020年10月24日，马云在外滩金融峰会上突然开炮，脚踩巴塞尔协议，斥责银行是当铺，痛陈中国金融没有系统。

潘多拉的魔盒就此打开，舆论洪水铺天盖地涌向阿里。

再后来，马云被四部委约谈，蚂蚁集团IPO被暂缓，阿里被反垄断调查罚款182亿元、湖畔大学被传停止招生……当然，还有剪不断理还乱的桃色新闻。

本以为年底了马上水逆到头了，谁成想又出来个阿里云事件。

反垄断还在继续，中美博弈还在升级，阿里要更加小心了。