[WSJ独家]阿里巴巴高管因警方数据泄露事件被中国当局约谈-spotlight

今日国际头条新闻

WSJ中文版：https://cn.wsj.com/articles/%E9%98%BF%E9%87%8C%E5%B7%B4%E5%B7%B4%E9%AB%98%E7%AE%A1%E5%9B%A0%E8%AD%A6%E6%96%B9%E6%95%B0%E6%8D%AE%E6%B3%84%E9%9C%B2%E4%BA%8B%E4%BB%B6%E8%A2%AB%E4%B8%AD%E5%9B%BD%E5%BD%93%E5%B1%80%E7%BA%A6%E8%B0%88-11657841106

路透社头条转载 https://www.reuters.com/technology/alibaba-execs-summoned-by-shanghai-authorities-over-data-theft-probe-wsj-2022-07-14/?utm_source=newsletter&utm_medium=email&utm_campaign=technology-roundup&utm_term=Technology%20Roundup%20-%202021%20-%20Master%20List

WSJ英文版全文：https://www.wsj.com/articles/alibaba-executives-called-in-by-china-authorities-as-it-investigates-historic-data-heist-11657812800?mod=latest_headlines

"该云所使用的技术已经过时数年，且缺乏基本的安全功能，他们在该公司托管的其他十多个数据库中也发现这一情况。"

请问各位MJJ，你们托管在阿里云上的数据还安全吗？

edit: 中文版不全，很多人问为什么阿里有责任，我把英文版的部分放上来

据知情人士和一位云客户透露，随着调查的继续，阿里云命令员工审查与关键客户签订合同中的数据库架构和配置等细节，特别是那些拥有政府机构和金融机构等专用私有云资源的客户。

阿里巴巴和上海警方上周都没有对网络安全研究人员发现被盗警察数据库的仪表板没有密码发表评论。

根据LeakIX和SecurityDiscovery的研究人员的说法，两家网络安全公司扫描网络上的不安全数据库，仪表板缺少密码，并且没有办法添加密码。

研究人员表示，阿里巴巴提供的用于存储数据的数据库以及用于访问和管理数据的仪表板都使用了已经过时数年的产品版本。他们说，这些版本不包括任何安全功能，例如密码保护，而没有从未安装过的单独附加组件。

缺少的附加组件对于数据库来说并不重要，数据库保存在一个安全的私有服务器上，但仪表板是在公共互联网上设置的，就像一扇通往数据保险库的敞开大门，并允许内部信息不受阻碍地导出。该数据库还缺少最新的安全证书，这是一种用于加密Web流量的唯一数字标识符，已成为标准做法。

研究人员表示，阿里巴巴上一次部署新证书是在2017年9月，该证书在一年后过期，从未续签。对过期证书的依赖并没有增加数据库的脆弱性，但表明维护工作被忽视了，LeakIX首席技术官Gregory Boddin说。“至少在过去四年里，它没有任何维护，”他说。

LeakIX和SecurityDiscovery都表示，他们发现了其他13个阿里巴巴托管的数据库，这些数据库使用了相同过时版本的数据库和仪表板产品，并且与私人服务器上的数据库和公共互联网上的仪表板设置相同。博丁说，这13家公司还共享了一张当时已经过期的证书，这违背了安全方面的最佳实践。

根据LeakIX的记录，几乎所有的开放都持续了一年以上。其中两个包含的数据甚至比从上海警方窃取的23TB数据还要多：一个超过60TB，而另一个超过92TB。

即使有一天也足以让恶意行为者抓住和收集如此规模的数据库，“SecurityDiscovery公司的所有者Bob Diachenko说

7月初在泄密事件开始在社交媒体上引起广泛关注后不久，阿里巴巴切断了公众对所有14个数据库的访问，博丁和迪亚琴科说。

阿里巴巴创始人马云是数据在警务和社会控制中使用的早期传播者。2016年，他在向150万政治和法律官员发表讲话时表示，分析大量数据将有助于公安机关追踪小偷，并在恐怖袭击发生之前预测。

阿里云是中国最大的公共云服务提供商，但根据政府支持的智库CCW Research的数据，它在迎合需要自己的私有云系统的客户方面远远落后于华为技术公司等竞争对手。阿里巴巴的云业务在截至3月的季度实现了盈利，使其成为第一家从现金燃烧领域赚钱的中国云服务提供商。

阿里巴巴此前曾面临对其数据安全实践的审查。去年12月，中国负责技术的部门暂停了与阿里巴巴云计算部门的网络安全合作伙伴关系六个月，此前北京方面指控该公司未能及时向其报告全球软件漏洞。

去年，在当地电信监管机构的压力下，该公司披露了2019年的一起事件，其中一名员工将客户联系信息泄露给分销商。

本周早些时候，上海当局宣布对属于政府机构、国有企业、大型科技公司和其他实体的关键网站和平台进行网络安全审查，特别关注任何包含超过一百万人的个人数据的网站和平台。

热议
推荐楼 88232128 5小时前

阿里巴巴：自己把密码贴到csdn，关我屁事！

推荐楼 神秘北极圈 5小时前

这个不是管理的漏洞吗？怪阿里巴巴吗？

推荐楼 larry 5小时前

这个不是管理的漏洞吗？怪阿里巴巴吗？

数据存在你阿里云，泄露了你就要负责，不需要解释。

推荐楼 riofredinand 5小时前

这个好象是公安的问题吧

推荐楼 logic90 5小时前

阿里巴巴：自己把密码贴到csdn，关我屁事！

那个是谣言。。。wsj说，是软件问题造成的泄露，数据库和面板根本就没有密码，也不支持密码功能。。。所以不存在泄露密码

推荐楼 朕射你无罪 5小时前

约谈而已。。。又不是什么问题。气氛都烘托到这了。不处理又不行。。交点罚款。罚酒三杯吧

推荐楼 东方红 5小时前

我想看国内媒体版，最好是胡叼盘版。

推荐楼 silence 5小时前

数据存在你阿里云，泄露了你就要负责，不需要解释。

你自己把密钥放csdn，数据被别人偷了，还怪阿里吗

推荐楼 larry 3小时前

这个就跟 你自己把家门钥匙丢在地上 家里东西被偷了 你还要问这个锁为什么能开 一样 ...

为什么面板和数据库没有设置密码你没有发现？为什么数据库可以允许公网访问？说明阿里云安全观念淡薄，丧失主动性，失职失察，对数据泄露负有不可推卸的责任。

推荐楼 StarkSands 5小时前

果然铁拳打起来是毫不讲理的。银行卡被盗是不是可以捶银行。

4楼 狂人 5小时前

哪里都不安全 听天由命吧

7楼 Apian 5小时前

安全是相对的，没有绝对的安全。。。。

9楼 YorkZhao 5小时前

套路云狗都摇头

12楼 霜浪 5小时前

我的115网盘就是在阿里云上的

13楼 lspro 5小时前

阿里吃了好几次铁拳了吧

14楼 静香 5小时前

阿里云狗都不用
sbaliyun.com

15楼 滚来滚去 5小时前

办事不行，甩锅最在行

16楼 dalky 5小时前

这个好象是公安的问题吧

确实，早要求政府不能用私企的云

17楼 silence 5小时前

数据存在你阿里云，泄露了你就要负责，不需要解释。

你自己把密钥放csdn，数据被别人偷了，还怪阿里吗

18楼 StarkSands 5小时前

果然铁拳打起来是毫不讲理的。银行卡被盗是不是可以捶银行。

19楼 class 5小时前

约谈， 不是追责，顶多就谈谈事情怎么发生的，后面怎么避免这个问题，走个过场。

20楼 hjh142857 5小时前

为什么不去锤csdn我不李姐

22楼 logic90 5小时前

阿里巴巴：自己把密码贴到csdn，关我屁事！

那个是谣言。。。wsj说，是软件问题造成的泄露，数据库和面板根本就没有密码，也不支持密码功能。。。所以不存在泄露密码

23楼 绿岛小夜曲 5小时前

管理者应该判死刑，然后把天安门城楼的牌子换成那颗头，挂上一个星期，以供后人警示。

24楼 chief567 5小时前

约谈又不是因为23T的那个，都没认真看？

25楼 bbcnn 5小时前

主要责任应该是为什么公网能访问。。。

26楼 gamerock 4小时前

叫什么叫？
不找个背锅的！！
我怎么能下得了台？
开什么玩笑？不找你背锅。难道找我吗？

27楼 萌十七 4小时前

10e那事？

28楼 晴晴晴 4小时前

听我说 谢谢你

29楼 orwtmc 4小时前

larry 发表于 2022-7-15 10:15
数据存在你阿里云，泄露了你就要负责，不需要解释。

傻逼制度

30楼 orwtmc 4小时前

silence 发表于 2022-7-15 10:31
你自己把密钥放csdn，数据被别人偷了，还怪阿里吗

这个就跟 你自己把家门钥匙丢在地上 家里东西被偷了 你还要问这个锁为什么能开 一样

32楼 jiao1396009596 3小时前

需要一个背锅的，只让那个泄露密钥那一个人抗的话事儿有点大，找阿里背锅吧正好借此机会打压垄断企业，一举两得

33楼 akkba 3小时前

锅, 总得有人背不是

34楼 Bcn 3小时前

阿里是出来背锅的
领导会背这个锅吗？怎么可能

35楼 galesaur 3小时前

这逻辑无敌了，可能脸面没地搁了，自己找台阶下

36楼 jshkk 3小时前

不对警察局追责吗？

37楼 阿里云 3小时前

我好冤啊

38楼 lokinT 3小时前

就硬要背锅

39楼 larry 3小时前

这个就跟 你自己把家门钥匙丢在地上 家里东西被偷了 你还要问这个锁为什么能开 一样 ...

为什么面板和数据库没有设置密码你没有发现？为什么数据库可以允许公网访问？说明阿里云安全观念淡薄，丧失主动性，失职失察，对数据泄露负有不可推卸的责任。

40楼 inorther 2小时前

按照WSJ的报道，CSDN的密钥好像和泄露关联不大。
可以看看leakIX的blog https://blog.leakix.net/2022/07/what-we-know-about-the-china-leak/
感觉集群维护者的锅比较大，1是暴露在公网，2是缺少密码保护。MJJ们还是不要听风就是雨

42楼 气味 半小时前

43楼 省港澳白嫖王 18分钟前

用过RDS没有？？没保护？不设置白名单ip，链接地址都不会给你
自己搭了个傻卵面板不做保护怪人家？

44楼 micboy 16分钟前

大哥，这个和阿里没关系吧

45楼 Do. 15分钟前

阿里云垃圾，连门都看不住

46楼 locker 3分钟前

larry 发表于 2022-7-15 12:21
为什么面板和数据库没有设置密码你没有发现？为什么数据库可以允许公网访问？说明阿里云安全观念淡薄，丧 ...

原文只说了面板没设置密码且不支持密码，且放在公网上。
原文没有说数据库没有密码，也没有说数据库允许公网访问。

申明：本文内容由网友收集分享，仅供学习参考使用。如文中内容侵犯到您的利益，请在文章下方留言，本站会第一时间进行处理。