flyzy博客
今日国际头条新闻
WSJ中文版:https://cn.wsj.com/articles/%E9%98%BF%E9%87%8C%E5%B7%B4%E5%B7%B4%E9%AB%98%E7%AE%A1%E5%9B%A0%E8%AD%A6%E6%96%B9%E6%95%B0%E6%8D%AE%E6%B3%84%E9%9C%B2%E4%BA%8B%E4%BB%B6%E8%A2%AB%E4%B8%AD%E5%9B%BD%E5%BD%93%E5%B1%80%E7%BA%A6%E8%B0%88-11657841106
路透社头条转载 https://www.reuters.com/technology/alibaba-execs-summoned-by-shanghai-authorities-over-data-theft-probe-wsj-2022-07-14/?utm_source=newsletter&utm_medium=email&utm_campaign=technology-roundup&utm_term=Technology%20Roundup%20-%202021%20-%20Master%20List
WSJ英文版全文:https://www.wsj.com/articles/alibaba-executives-called-in-by-china-authorities-as-it-investigates-historic-data-heist-11657812800?mod=latest_headlines
“该云所使用的技术已经过时数年,且缺乏基本的安全功能,他们在该公司托管的其他十多个数据库中也发现这一情况。”
请问各位MJJ,你们托管在阿里云上的数据还安全吗?
edit: 中文版不全,很多人问为什么阿里有责任,我把英文版的部分放上来
据知情人士和一位云客户透露,随着调查的继续,阿里云命令员工审查与关键客户签订合同中的数据库架构和配置等细节,特别是那些拥有政府机构和金融机构等专用私有云资源的客户。
阿里巴巴和上海警方上周都没有对网络安全研究人员发现被盗警察数据库的仪表板没有密码发表评论。
根据LeakIX和SecurityDiscovery的研究人员的说法,两家网络安全公司扫描网络上的不安全数据库,仪表板缺少密码,并且没有办法添加密码。
研究人员表示,阿里巴巴提供的用于存储数据的数据库以及用于访问和管理数据的仪表板都使用了已经过时数年的产品版本。他们说,这些版本不包括任何安全功能,例如密码保护,而没有从未安装过的单独附加组件。
缺少的附加组件对于数据库来说并不重要,数据库保存在一个安全的私有服务器上,但仪表板是在公共互联网上设置的,就像一扇通往数据保险库的敞开大门,并允许内部信息不受阻碍地导出。该数据库还缺少最新的安全证书,这是一种用于加密Web流量的唯一数字标识符,已成为标准做法。
研究人员表示,阿里巴巴上一次部署新证书是在2017年9月,该证书在一年后过期,从未续签。对过期证书的依赖并没有增加数据库的脆弱性,但表明维护工作被忽视了,LeakIX首席技术官Gregory Boddin说。“至少在过去四年里,它没有任何维护,”他说。
LeakIX和SecurityDiscovery都表示,他们发现了其他13个阿里巴巴托管的数据库,这些数据库使用了相同过时版本的数据库和仪表板产品,并且与私人服务器上的数据库和公共互联网上的仪表板设置相同。博丁说,这13家公司还共享了一张当时已经过期的证书,这违背了安全方面的最佳实践。
根据LeakIX的记录,几乎所有的开放都持续了一年以上。其中两个包含的数据甚至比从上海警方窃取的23TB数据还要多:一个超过60TB,而另一个超过92TB。
即使有一天也足以让恶意行为者抓住和收集如此规模的数据库,“SecurityDiscovery公司的所有者Bob Diachenko说
7月初在泄密事件开始在社交媒体上引起广泛关注后不久,阿里巴巴切断了公众对所有14个数据库的访问,博丁和迪亚琴科说。
阿里巴巴创始人马云是数据在警务和社会控制中使用的早期传播者。2016年,他在向150万政治和法律官员发表讲话时表示,分析大量数据将有助于公安机关追踪小偷,并在恐怖袭击发生之前预测。
阿里云是中国最大的公共云服务提供商,但根据政府支持的智库CCW Research的数据,它在迎合需要自己的私有云系统的客户方面远远落后于华为技术公司等竞争对手。阿里巴巴的云业务在截至3月的季度实现了盈利,使其成为第一家从现金燃烧领域赚钱的中国云服务提供商。
阿里巴巴此前曾面临对其数据安全实践的审查。去年12月,中国负责技术的部门暂停了与阿里巴巴云计算部门的网络安全合作伙伴关系六个月,此前北京方面指控该公司未能及时向其报告全球软件漏洞。
去年,在当地电信监管机构的压力下,该公司披露了2019年的一起事件,其中一名员工将客户联系信息泄露给分销商。
本周早些时候,上海当局宣布对属于政府机构、国有企业、大型科技公司和其他实体的关键网站和平台进行网络安全审查,特别关注任何包含超过一百万人的个人数据的网站和平台。
河南省网友说:阿里巴巴:自己把密码贴到csdn,关我屁事!
河南省网友说:这个不是管理的漏洞吗?怪阿里巴巴吗?
黑龙江省网友说:数据存在你阿里云,泄露了你就要负责,不需要解释。
台湾省网友说:这个好象是公安的问题吧
湖北省网友说:约谈而已。。。又不是什么问题。气氛都烘托到这了。不处理又不行。。交点罚款。罚酒三杯吧
湖北省网友说:我想看国内媒体版,最好是胡叼盘版。
甘肃省网友说:那个是谣言。。。wsj说,是软件问题造成的泄露,数据库和面板根本就没有密码,也不支持密码功能。。。所以不存在泄露密码
江苏省网友说:果然铁拳打起来是毫不讲理的。银行卡被盗是不是可以捶银行。
四川省网友说:你自己把密钥放csdn,数据被别人偷了,还怪阿里吗
江苏省网友说:办事不行,甩锅最在行
山西省网友说:哪里都不安全 听天由命吧
黑龙江省网友说:安全是相对的,没有绝对的安全。。。。
山西省网友说:套路云狗都摇头
青海省网友说:背锅侠
江苏省网友说:我的115网盘就是在阿里云上的
山西省网友说:阿里吃了好几次铁拳了吧
湖北省网友说:阿里云狗都不用
sbaliyun.com
江西省网友说:办事不行,甩锅最在行
湖北省网友说:确实,早要求政府不能用私企的云
海南省网友说:你自己把密钥放csdn,数据被别人偷了,还怪阿里吗
河北省网友说:果然铁拳打起来是毫不讲理的。银行卡被盗是不是可以捶银行。
山东省网友说:约谈, 不是追责,顶多就谈谈事情怎么发生的,后面怎么避免这个问题,走个过场。
云南省网友说:为什么不去锤csdn我不李姐
安徽省网友说:这个是传的还是有记录的啊
陕西省网友说:那个是谣言。。。wsj说,是软件问题造成的泄露,数据库和面板根本就没有密码,也不支持密码功能。。。所以不存在泄露密码
江西省网友说:管理者应该判死刑,然后把天安门城楼的牌子换成那颗头,挂上一个星期,以供后人警示。
青海省网友说:约谈又不是因为23T的那个,都没认真看?
安徽省网友说:主要责任应该是为什么公网能访问。。。
河南省网友说:叫什么叫?
不找个背锅的!!
我怎么能下得了台?
开什么玩笑?不找你背锅。难道找我吗?
海南省网友说:10e那事?
云南省网友说:听我说 谢谢你
浙江省网友说:傻逼制度
青海省网友说:这个就跟 你自己把家门钥匙丢在地上 家里东西被偷了 你还要问这个锁为什么能开 一样
福建省网友说:这操作,看不懂啊
云南省网友说:需要一个背锅的,只让那个泄露密钥那一个人抗的话事儿有点大,找阿里背锅吧正好借此机会打压垄断企业,一举两得
云南省网友说:锅, 总得有人背不是
江苏省网友说:阿里是出来背锅的
领导会背这个锅吗?怎么可能
江西省网友说:这逻辑无敌了,可能脸面没地搁了,自己找台阶下
