أفادت وسائل إعلام صينية يوم الأربعاء بأن الجهة المنظمة لأمن الإنترنت في الصين عاقبت وحدة خدمات الحوسبة السحابية التابعة لمجموعة علي بابا القابضة لامتناعها عن إبلاغ الحكومة أولًا عن ثغرة خطرة في برنامج Log4j من (أباتشي) Apache، الأمر الذي أثار قلق مجتمع الأمن السيبراني.

وقالت صحيفة أخبار الأعمال الصينية 21st Century Business Herald إن (وزارة الصناعة وتقنية المعلومات) علقت العمل مع (علي بابا كلاود) Alibaba Cloud بوصفها شريك الاستخبارات لتهديدات الأمن السيبراني لفترة ستة أشهر، لأن الشركة لم تبادر بالإبلاغ عن الثغرة الخطرة في برنامج تسجيل الدخول المستخدم على نطاق واسع للوكالة الحكومية.

وقالت الوزارة أيضًا إنها ستعيد تقييم ما إذا كانت ستعود إلى الشراكة بعد انتهاء الفترة، وذلك بناءً على الإجراءات التي تتخذها علي بابا لإصلاح المشكلة.

ويُعتقد أن فقدان دعم الوكالة قد يؤثر في آفاق الأعمال لوحدة الحوسبة السحابية التابعة لشركة علي بابا. ومع ذلك، فمن الصعب تحديد خسائر معينة لأكبر شركة لخدمة الحوسبة السحابية في الصين.

وأطلقت (وزارة تقنية المعلومات والاتصالات) منصة لتبادل المعلومات الاستخباراتية عن تهديدات الأمن السيبراني في شهر كانون الأول/ ديسمبر 2019 ليكون تحالفًا تقوده الدولة في التعامل مع التهديدات الأمنية. وتمثل العضوية في المنصة اعترافًا حكوميًا بقدرات العضو في اكتشاف التهديدات وإدارتها.

ووُصفت ثغرة Log4j بأنها “كابوس” و “كارثية”، وقد قال بعض الخبراء إنها أخطر تهديد للأمن السيبراني على الإطلاق بالنظر إلى عدد الأجهزة المتضررة، خاصةً أن البرنامج – المستند إلى لغة البرمجة الشهيرة (جافا) – موجود في عدد لا يحصى من الأجهزة المتصلة بالإنترنت، مثل منتجات (إنترنت الأشياء)، وأجهزة التلفاز، والكاميرا، والخوادم التي تقوم بتشغيل العمليات السحابية لعمالقة التقنية، مثل: أمازون، وجوجل، ومايكروسوفت.

وحظيت الثغرة باهتمام واسع النطاق أول الأمر حينما أُعلن عنها في 9 كانون الأول/ ديسمبر الجاري، وذلك بعد أن اكتشف (تشين تشوجون)، مهندس فريق الأمن السحابي في (علي بابا كلاود)، الثغرة. وكان تشين قد أبلغ مؤسسة Apache Software Foundation، وهي شركة غير ربحية تطور أداة Log4j المفتوحة المصدر، عبر البريد الإلكتروني في 24 تشرين الثاني/ نوفمبر الماضي.

ووفقًا للائحة التي مُررِّت هذا العام، فإن الشركات الصينية ملزمة بالإبلاغ عن نقاط الضعف في برامجها الخاصة إلى وزارة الاتصالات وتقنية المعلومات من خلال موقع قاعدة البيانات الوطنية للثغرات الأمنية. ومع ذلك، فإن لائحة إدارة ثغرة أمان منتجات الإنترنت، التي دخلت حيز التنفيذ في شهر أيلول/ سبتمبر الماضي، تشجع الشركات فقط على الإبلاغ عن الأخطاء الموجودة في برامج الآخرين.

وأصدر مكتب إدارة الأمن السيبراني التابع لوزارة الاتصالات وتقنية المعلومات بيانًا في 9 كانون الأول/ ديسمبر الجاري قال فيه إن مؤسسات الأمن السيبراني ذات الصلة أبلغته بشأن الثغرة الأمنية. وأضاف أن الوزارة استدعت (علي بابا كلاود) وشركات أخرى للأمن السيبراني لمناقشة الوضع. كما حثت الشركات والجمهور على مراقبة التحديثات لتصحيح أنظمتهم.

وتشجع معايير صناعة الأمن السيبراني إخطار البائعين بالعيوب الأمنية أولًا، مما يمنحهم متسعًا من الوقت لمعالجة المشكلة، وذلك قبل الكشف عن المشكلة للجمهور. وأصدرت Apache تصحيحًا لخلل Log4j في 6 كانون الأول/ ديسمبر، وذلك قبل ثلاثة أيام من الكشف العام.

ومع ذلك، فمن المتوقع أن يكون تأثير اكتشاف الثغرة واسع النطاق بسبب انتشار Log4j في كل مكان. وقد لا يدرك الكثير من الناس أن أنظمتهم معرضة للخطر.

وأشاد خبراء الأمن السيبراني على موقع تويتر بمهندس (علي بابا كلاود) لإفصاحه بمسؤولية عن الثغرة الأمنية مباشرة لمطوري الأداة. ومنذ الكشف العلني عن الثغرة، حذر خبراء الأمن السيبراني من زيادة في فحص النشاط لـ Log4j على الأنظمة الضعيفة.

وقالت شركة مايكروسوفت في 11 كانون الأول/ ديسمبر إنها وجدت أن الجهات الحكومية المرتبطة بالصين، وإيران، وكوريا الشمالية، وتركيا تجرِّب وتستغل الثغرة الأمنية.