El gobierno chino castiga a Alibaba por no informarle inmediatamente sobre Log4j

China suspende un acuerdo de ciberseguridad con Alibaba por no compartir en primer lugar con el gobierno la vulnerabilidad Log4j 0-day.

El regulador chino de Internet, el Ministerio de Industria y Tecnolog铆a de la Informaci贸n (MIIT), ha suspendido temporalmente, por seis meses, una asociaci贸n con Alibaba Cloud, filial de Alibaba Group, por no haber informado con prontitud al gobierno sobre una vulnerabilidad de seguridad cr铆tica que afectaba a la biblioteca Log4j.

La informaci贸n fue revelada por Reuters y South China Morning Post, que citan un informe de 21st Century Business Herald, un diario chino de noticias de negocios.

“Alibaba Cloud no inform贸 inmediatamente de las vulnerabilidades en el popular marco de registro de c贸digo abierto Apache Log4j2 al regulador de telecomunicaciones de China”, dijo Reuters. “En consecuencia, el MIIT suspendi贸 una asociaci贸n de cooperaci贸n con Alibaba Cloud en relaci贸n con las amenazas de ciberseguridad y las plataformas de intercambio de informaci贸n”.

Log4Shell fue dada a conocer por Chen Zhaojun, del equipo de seguridad de la nube de Alibaba, quien envi贸 un correo electr贸nico alertando a Apache Software Foundation (ASF) sobre el fallo, a帽adiendo que “tiene un gran impacto”.

Tras la revelaci贸n p煤blica del fallo, Log4Shell ha sido objeto de una explotaci贸n generalizada por parte de agentes de amenazas que buscan hacerse del control de servidores vulnerables.

En septiembre pasado, el gobierno chino anunci贸 una nueva normativa, m谩s estricta, sobre divulgaci贸n de vulnerabilidades, que obliga a los proveedores de software y redes afectados por fallos cr铆ticos, as铆 como a las entidades o personas que se dedican a descubrir vulnerabilidades de seguridad en productos de red, a informar de primera mano, y en un plazo de dos d铆as, a las autoridades gubernamentales.

Seg煤n una actualizaci贸n del South China Morning Post, Alibaba dijo, tras ser excluida durante seis meses de la asociaci贸n de inteligencia sobre ciberamenazas, que trabajar铆a para mejorar su gesti贸n de riesgos y su cumplimiento. Alibaba Cloud tambi茅n dijo que “no comprendi贸 completamente la gravedad del fallo”, y admiti贸 que “no comparti贸 los detalles con el gobierno a tiempo”.



Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.