燕梳楼：阿里再爆惊天大丑闻！

lameihua

　　平安夜不平安。

　　阿里再曝惊天大丑闻。

　　这一次，是旗下的阿里云。

　　01.

　　发现核弹级漏洞，美国优先？

　　11月24日，阿里云发现一个漏洞。

　　全世界广泛使用的服务器Apache（阿帕奇）开源项目log4j日志组件中存在致命漏洞。

　　这个漏洞一旦被攻击者利用，哪怕这个攻击者是普通的小白，都可以轻而易举的攻入目标服务器，获取最高权限，窃取或控制服务器。

　　这样一个可怕的漏洞，被阿里云程序员第一时间发现，确实证实阿里云的技术非常牛逼，也值得骄傲。

　　但诡异的是，他们发现这个漏洞后，第一时间报告给了美国的阿帕奇协会，而不是自己国家的工信部和共享平台！

　　更没有通报给国内的兄弟企业！

　　12月9日，也就是发现漏洞后的15天之后，工信部看到奥地利和新西兰计算机小组对这一漏洞发出的预警，才知道发现这个漏洞的“功臣”是阿里。

　　这15天意味着什么？意味着中国网络大门洞开，一切都暴露在阳光之下，没有任何遮挡，更可怕的是，既没人提醒更没人知道！

　　为什么满世界的人都知道了，国内主管部门却不知道？

　　墙内开花墙外香？于是，高层大为震怒。

　　12月22日，工信部发布通报，措辞严厉：

　　取消其网络安全威胁信息共享平台合作单位资格，立即整改6个月，处罚届满后将根据整改情况，研究其是否恢复资格。

　　且复重申，以观后效！

　　02.

　　阿里被罚到底冤不冤？

　　阿里本来有功，如今却被重罚。

　　是流年不利还是自已作死，到底冤不冤？

　　是知情不报故意为之，还是崇洋媚外美国优先？

　　我们先看这个漏洞的危害，为什么说是核弹级。

　　这个名为阿帕奇（Apache）Log4j2日志组件的严重安全漏洞，可被黑客远程操控，不仅窃取机密信息，还会引发巨大的政治及金融风险。

　　比如说阿里旗下的支付宝，如果被别有用心的黑客篡改，所有的帐务往来就会瞬间抹去，更可怕的是绑定的政务信息，将一览无余。

　　而我们的医院、工业和交通控制系统被攻击，那几乎是场灾难。

　　有网友亲测，仅仅更改IPhone名称就能触发漏洞，在火狐等浏览器的搜索框里输入带${ 特殊格式请求，就能劫持网页。

　　这听起来似乎很可怕，事实也是如此。就在一年前，美国的SolarWinds公司就因为一个更新程序被攻击，导致美财政部系统等18000家联邦机构和相关企业系统运行受到影响。

　　所以在美国，遇到这么大的安全漏洞，都要第一时间上报NSA（美国国家安全局），经过批准才能对外公布。

　　但这么大的漏洞，不知阿里云是心大还是眼大，竟然不是第一时间上报工信部，而是向美国机构报告。

　　如果不是从第三方渠道知道这个信息，工信部至今还被蒙在鼓里！

　　你阿里，眼里还有王法吗！

　　03.

　　阿里云错在先斩未奏

　　今年7月1日，举国欢庆。

　　但滴滴却绕过监管，在数据安全法生效前，偷偷赴美上市了。

　　是可忍孰不可忍。这已经不是什么普通的违规问题了，而是在利益面前连基本的立场都没了！

　　而这一次，阿里又是什么性质？按我说，这背后折射的资本傲慢比起滴滴有过之而无不及！

　　滴滴显然是在打政策和时点的擦边球，虽然可恨但确实有空子可钻。因为数据安全法6月底只是征求意见，9月1日才正式生效。

　　但这次阿里安全门事件却是在国家数据安全法生效之后。

　　根据《网络产品安全漏洞管理规定》第七条规定，各企业发现安全漏洞后，应当在2日内向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。

　　作为国内首屈一指的云计算企业，是不知道这个规定还是装不知道？

　　而且，根据这条管理规定，工信部还上线了网络安全威胁和漏洞信息共享平台，要求国内各共享单位要报告产品名称、型号、版本等各类网络产品安全漏洞、危害和影响范围等信息，作为共享合作单位你共享了吗？

　　不共享不报告，而是舍近求远，直接向美国控制的阿帕奇（Apache）基金会报告，向澳洲、新西兰共享，到底是粗心大意还是别有用心？

　　是，我们不能否认，阿里云向美国apache也没毛病，因为apache是这个开源代码的维护组织，也并不一定就别有用心。

　　但数据安全法已经实施了啊，遇到重大安全漏洞问题，应该向apache和工信部同步报告，并将相关数据及危害性及时分享到共享平台，这才符合规定啊。

　　说白了，不管你阿里背后的资本是什么，美日又有什么样的勾结，但在中国的土地上显然要遵守中国的法律，如此美国优先很难不让人怀疑。

　　所以此次工信部取消其共享平台合作单位6个月责令整改，真的算是法外开恩了。

　　当然，我们也可以理解做IT或和做企业的不一定有这样的敏感性，缺乏应有的政治意识与国安意识，但违反数据安全法及报告流程，是铁的事实！

　　即使抛开政治因素，也是重大的生产安全事故！

　　04.

　　为什么要强调数据安全？

　　不能否认，互联网基因不在中国。

　　无论是最早的四大门户，还是后来的B2C或者C2C，或者是基于开源的操作系统所衍生的各种神应用，基本上都脱离不了以美国为首的西方技术。

　　这也是我们为什么这两年被技术卡脖子的原因。

　　但被卡脖子的仅仅是技术吗？技术仅仅是一种外在的业态，真正卡脖子还有资金链。阿里、腾讯、百度、滴滴，哪个平台没有国外资本的身影？

　　国外财阀完全是为了回报率吗？资本的本质，就是政治。无论是美国的驴象之争，还是俄罗斯的寡头干政，无不证明这一点。

　　这也是为什么国家保持高度警惕，防范资本无序扩张、野蛮生长的原因。不把资本关进牢子里，而是在政商与民生领域横冲直撞，最终动摇的是国之根本。

　　所以大家现在就更明白了，我在前几天的中央经济工作会议解读中，为什么单独把“先立后破”这句话拿出来说，现在已经到了破局的关键时候。

　　实际上，早在前年国家已经意识到网络与数据安全的重要性。而360春江水暖，率先从美国退市，并于去年3月披露了美国情报机构的种种黑手。

　　在过去长达10年时间里，美情报机构多次攻击中国航天、科研和石油系统，并亮出了实锤证据。

　　在这样的大背景下，阿里依然昏昏昭昭，确实让人愤怒。

　　有心也好，无心也罢，阿里必须要付出代价。

　　05.

　　阿里云可能最后被蠢死

　　有人说，阿里能有这么蠢？

　　他们如果故意这么做，市场不要了？

　　这个问题确实问的好。所以总体分析下来，阿里应是无心之过。

　　是缺乏法治意识，缺乏国安意识，缺乏民族意识的一次翻车事件。

　　要知道，阿里云在国内市场已经是王者般的存在，但华为云、腾讯云紧追不放，在未来两年即将爆发的更大市场，没有理由犯这样的低级错误。

　　事实上，阿里云确实也有牛逼的资本。全国最优秀的程序员基本上都在阿里云，也由此抢占先机，成为全球领先的云计算及人工智能科技公司。

　　在全球云计算IaaS市场上，阿里云位居前三甲，占据着近10%的市场份额。并且在计算、存储、网络、安全核心技术，超过亚马逊、微软、谷歌等巨头。

　　这在后起之秀的中国，非常了不起。

　　在国内，阿里云更是一枝独秀。今年一季度公布的云计算市场，阿里云更是甩开同行一条街，以40%以上的市场份额独狐求败。

　　现在不用孤独求败了，想死真的很容易的。

　　随着大数据上云化，在未来两年政务系统和大型企业上云率将突破60%，而这其中政务云的市场就高达1100多亿的规模。

　　目前各方云厂商都在紧锣密鼓地展开对政务云市场的争夺，因为一旦成交很难更换，具有超强粘性，所以很多云商不惜报出0元标。

　　这个时候上了工信部的“黑名单”，被工信部取消网络安全威胁信息共享平台合作单位半年之久，傻子都知道意味着什么。

　　事实上，这并不是阿里云第一次出现安全问题。早在今年8月，阿里云就因擅自将用户留存的注册信息泄露给第三方合作公司而被投诉，并被监管约谈。

　　再加上此次的安全门事件，阿里云的市场信誉将大打折扣，也会进一步引发政务系统的警惕。

　　这也可能意味着，阿里云要独自吞下这个苦果，起了个大早赶了个晚集，半年后，政务云市场将是另外一个格局。

　　阿里爸爸，已经不是个单纯的青年。

　　06.

　　科技有国界也有祖国！

　　诚然，阿里云的技术一骑绝尘。

　　但技术过硬不代表政治过硬。作为一家立足本土的科技企业，应该明白系统安全的重要性，把漏洞第一时间通报给国外，就是向国外递刀子。

　　因为国外敌对势力一旦利用这种漏洞，对于中国就是致命武器，带来巨大灾难。

　　大数据时代，数据就是战略资源。而网络安全又是数据的城门，无论哪个国家都会把这个网络国门死死守住，同时努力找别人的漏洞。

　　抓住别人的漏洞，就是自己的优势。

　　在新的历史阶段，全球已经迈入更为复杂的网络战争。在这场百年大变局中，每个企业都应该在历史的坐标和民族的网格里找到自己的定位。

　　不管是别有用心还是无心之举，阿里都应该补上国家数据安全这堂课。

　　不能一边赚中国人的钱，一边去捧西方人的臭脚。

　　英特尔可以是非不分，但阿里云不能。

　　谁还说科技无国界？

　　企业有祖国！