Együttműködés felfüggesztve
Kína internetes szabályozó hatósága, az Ipari és Információs Technológiai Minisztérium (MIIT) hat hónapra ideiglenesen felfüggesztette együttműködését az Alibaba Clouddal, az Alibaba csoport felhőalapú szolgáltatásokat nyújtó tagjával. Az indoklás szerint a szervezet nem tájékoztatta a hatóságokat (a kínai kormányt) a Log4j kritikus sérülékenységről. A kínai vállalatok kötelesek jelenteni a saját szoftvereik sebezhetőségeit a MIIT-nek a National Vulnerability Database weboldalán keresztül, az idén elfogadott új szabályozás értelmében. Kína törvényben szabályozta a sérülékenységek, különösen a ZeroDay sérülékenységek nyilvánosságra hozatalát, előírják a kritikus hibákkal érintett szoftver- és hálózati szolgáltatók számára, hogy a be kell jelenteniük a kormányzati hatóságoknak a sérülékenységeket. A “Hálózati termékbiztonsági (biztonsági)? rés kezelésének szabályai” 2021. szeptember 1-től léptek hatályba. Nem egyedi a bejelentési kötelezettség az Amerikai Egyesült Államokban a Cybersecurity Disclosure Act is előírja a kritikus infrastruktúra üzemeltetőinek, az eseménykezelő cégeknek és a szerződött vállalkozóknak, hogy 24 órán belül jelenteniük kell a kiberbiztonsági incidenseket a belbiztonság kijelölt szervezetének.
A kínai MIIT és az Alibaba Cloud együttműködése kiberfenyegetések (CTI) megosztásáról, azaz hírszerzési partnerségéből szólt.
Ugyan az Alibaba Cloud azonosította, hogy valami probléma van a Apache programjával és támogatást is kért a gyártótól, de a hírek szerint nem tudta azonosítani, hogy mekkora jelentősége is van a sérülékenységnek.