El gobierno chino castiga a Alibaba por no informarle inmediatamente sobre Log4j

China suspende un acuerdo de ciberseguridad con Alibaba por no compartir en primer lugar con el gobierno la vulnerabilidad Log4j 0-day.

El regulador chino de Internet, el Ministerio de Industria y Tecnología de la Información (MIIT), ha suspendido temporalmente, por seis meses, una asociación con Alibaba Cloud, filial de Alibaba Group, por no haber informado con prontitud al gobierno sobre una vulnerabilidad de seguridad crítica que afectaba a la biblioteca Log4j.

La información fue revelada por Reuters y South China Morning Post, que citan un informe de 21st Century Business Herald, un diario chino de noticias de negocios.

«Alibaba Cloud no informó inmediatamente de las vulnerabilidades en el popular marco de registro de código abierto Apache Log4j2 al regulador de telecomunicaciones de China», dijo Reuters. «En consecuencia, el MIIT suspendió una asociación de cooperación con Alibaba Cloud en relación con las amenazas de ciberseguridad y las plataformas de intercambio de información».

Log4Shell fue dada a conocer por Chen Zhaojun, del equipo de seguridad de la nube de Alibaba, quien envió un correo electrónico alertando a Apache Software Foundation (ASF) sobre el fallo, añadiendo que «tiene un gran impacto».

Tras la revelación pública del fallo, Log4Shell ha sido objeto de una explotación generalizada por parte de agentes de amenazas que buscan hacerse del control de servidores vulnerables.

En septiembre pasado, el gobierno chino anunció una nueva normativa, más estricta, sobre divulgación de vulnerabilidades, que obliga a los proveedores de software y redes afectados por fallos críticos, así como a las entidades o personas que se dedican a descubrir vulnerabilidades de seguridad en productos de red, a informar de primera mano, y en un plazo de dos días, a las autoridades gubernamentales.

Según una actualización del South China Morning Post, Alibaba dijo, tras ser excluida durante seis meses de la asociación de inteligencia sobre ciberamenazas, que trabajaría para mejorar su gestión de riesgos y su cumplimiento. Alibaba Cloud también dijo que «no comprendió completamente la gravedad del fallo», y admitió que «no compartió los detalles con el gobierno a tiempo».



Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022