As autoridades Chinesas encontram-se a aplicar medidas contra a empresa Alibaba, por alegadamente esta ter falhado na tarefa de notificar as mesmas sobre a vulnerabilidade do Log4J.
Como se tem vindo a conhecer nos últimos dias, o componente de Java do Log4J possui uma grave vulnerabilidade que pode ser usada para comprometer os sistemas onde a mesma se encontra. Tendo em conta que se trata de um componente bastante usado em diversos sistemas pela Internet, esta falha tem vindo a causar uma certa dor de cabeça para especialistas e investigadores de segurança.
Para se compreender melhor o caso, esta falha, conhecida como “Log4Shell”, foi inicialmente descoberta faz algumas semanas. Rapidamente se verificou tratar de uma grave vulnerabilidade que poderia afetar milhares de empresas em todo o mundo, sendo que recebeu mesmo a classificação de 10/10 na CVSS (Common Vulnerability Scoring System), uma das mais graves que pode ser dada.
Esta falha foi descoberta pelo investigador de segurança Chen Zhaojun, que pertence à Alibaba Cloud Security Team. Tendo descoberto a falha, o investigador comunicou imediatamente a mesma à Apache Foundation, sendo que a mesma foi depois publicada de forma geral para o conhecimento público cerca de uma semana depois.
Chen Zhaojun terá seguido todas as regras para revelar a falha de forma ética, mas parece que tal não foi dentro das regras das autoridades chinesas.
O problema encontra-se na forma como a lei na China é aplicada, sobretudo no que diz respeito à revelação de vulnerabilidades. O governo local aprovou, de forma recente, um conjunto de novas regras no pais, que obriga as empresas locais a divulgarem falhas graves em componentes ou softwares primeiro às autoridades da China.
Neste caso em particular, a Alibaba não seguiu as regras estabelecidas, uma vez que o investigador terá contactado diretamente a Apache sobre a falha, e não notificou primeiro as autoridades chinesas sobre a Log4Shell.
Como tal, e de acordo com a agência Reuters, a MIIT confirmou que irá aplicar medidas de sanção à Alibaba, onde se encontra a suspensão de qualquer parceria que tenha com a empresa. A MIIT também afirma que teve conhecimento sobre a falha no Log4J a partir de terceiros, e não diretamente da Alibaba como seria suposto.
Até ao momento a Alibaba Cloud não deixou qualquer comentário sobre este caso.
Nenhum comentário
Seja o primeiro!