【 以下文字转载自 NewExpress 讨论区 】
发信人: slowaction (slowaction), 信区: NewExpress
标 题: 谈一下阿里的apache漏洞和上海数据事件
发信站: 水木社区 (Wed May 24 20:10:28 2023), 站内
随手写的,就不去翻看资料了,欢迎大家指正细节
先说apache漏洞事件,大概过程是这样的,阿里的安全团队发现了一个apache的漏洞,属于非常严重的那一类的
一般说来发现新漏洞有3个做法,求名求利求财
求名就是研究之后通报给厂商、国家管理单位和漏洞组织,求个扬名立万。当然了,漏洞公开了,价值就降了数量级
求利就是不公开,琢磨着自己用。不追求自己是第一个公开的。如果用好了能获得巨大的利益
求财是中小企业的选择,他们不太追求扬名,干点事又不太敢。就可以选择卖掉。卖给黑产或者大公司,直接拿钱。阿里当然不会选这个了
实际是,阿里选择了求利,没有公开。只是通报了apache,没通报给管理部门。这个是违反国家相关管理规定的。国家规定可以通报给厂商(此处是apache),但是有义务在时效内通报给国家。阿里没有做
从他发现漏洞到后面公开,大概十多天,他干了什么,大家自己想就可以了
事情到这里,本来没事的。毕竟你发现漏洞,你不说,也没人知道
然后,漏洞因为别的事曝光出来了。一众安全厂商忙乎的同时,几乎所有的运维兄弟也夜以继日的打补丁。
这时候,阿里的神操作来了,他发了个文章。说他早发现了,并且有证据,因为他通报了apache.
这就是拿了利,还想要名,太贪婪了。
相关的问题,apache10多天补不了漏洞么?这期间美国人在干什么?你阿里在干什么?
现在你还跳出来说你早发现了?还想要这个名?哪有这种好事
上海数据简单写一下,一个阿里云的工程师把密码写在自己博客里。这个密码对应的系统在黑产叫卖,整整持续了2年时间。
直到最后曝光出来,大概10亿的人口和其他数据。
请问,哪个国家单位还敢和阿里合作?
--
FROM 111.33.205.*