一个大的企业，如果说想让自己的公司做的更好的话，肯定是需要取得用户的信任。而阿里云却泄露了用户的个人信息，并且把个人信息卖给了第三方，这件事情在发生之后也引起了很多用户的反对，并且也让用户觉得十分的愤怒。这件事情是发生在2019年的双11前后，阿里云有一位员工利用自己的职业之便，做出了这样的行为。阿里云泄露个人信息而事情在发生之后，也让用户发现了，并且进行了举报，而经过有关部门的调查，确实是发现了阿里云做出了相的事情。有关部门对阿里云进行了惩罚，并且要求其改正这种行为。而阿里云对于这件事情也进行了回复，表示这是员工自己的行为跟公司是没有任何的关系。但是对于王勇来说，肯定觉得这件事情发生在阿里云，就是因为阿里云没有对员工管理好，所以说才发生了这样的行为。而阿里云虽然说把这件事情的主要原因推在了员工的身上，但绝大部分的网友已经不再信任阿里云了。平台应该要保护好用户信息而我们国家也是有网络安全法，阿里云的这种行为已经是严重的，触犯了相关的法律。用户在网络上面的信息本身就是很难保证，所以说才选择了这样安全性比较高的软件。如果说像这样大的公司还会做出如此的行为，那么用户肯定也觉得自己的个人安全信息是越来越得不到保障了。阿里云管理上面的疏漏其实员工的行为固然有错，但阿里云都管理不到位，也是有错误的员工，能够直接的看到用户的信息。而且还可以通过其他的途径收集用户的信息，并把这些信息卖给第三方，那么阿里云的管理其实也是有疏漏的。那么也希望阿里云以及其他的产业能够以此为警戒，以后避免发生这样的行为。
近日，阿里云计算有限公司存在未经用户同意，擅自将用户留存在的注册信息泄露给第三方合作公司的行为，被浙江省通信管理局已责令其作出改正。阿里云就此事正式回应，经自查，该投诉事件应为2019年双11前后，阿里云一名电销员工违反公司纪律，利用工作便利私下获取客户联系方式，并传递给分销商员工，从而引发一名客户投诉。
阿里云对这样的事情进行了澄清，而且也当时会保证一定会及时更改系统的漏洞，维护用户的权益。
官方表示已经在尽力的整改了，而且也在进行改正，这样的行为已经引起很多人的反感了。

新京报贝壳 财经 讯（记者 罗亦丹）因发现安全漏洞后的处理问题，近日阿里云引发了一波舆论。据媒体报道，11月24日，阿里云安全团队向美国开源社区Apache（阿帕奇）报告了其所开发的组件存在安全漏洞。12月22日，因发现Apache Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，阿里云被暂停作为工信部网络安全威胁信息共享平台合作单位6个月。12月23日，阿里云在官方微信公号表示，其一名研发工程师发现Log4j2 组件的一个安全bug，遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助，“随后，该漏洞被外界证实为一个全球性的重大漏洞。阿里云因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。”“之前发现这样的漏洞都是直接通知软件开发方，这确实属于行业惯例，但是《网络产品安全漏洞管理规定》出台后，要求漏洞要同时通报给国家主管部门。由于上述法案颁布的时间不是很长，我觉得漏洞的发现者，最开始也未必能评估到漏洞影响的范围这么大。所以严格来说，这个处理不算冤，但处罚其实也没有那么严格，一不罚钱，二不影响做业务。””某安全公司技术总监郑陆（化名）告诉贝壳 财经 记者。漏洞影响有多大？那么，如何理解Log4j2漏洞的严重程度呢？安全公司奇安信将Apache Log4j2漏洞的CERT风险等级定为“高危”，奇安信描述称，Apache Log4j 是 Apache 的一个开源项目，通过定义每一条日志信息的级别，能够更加细致地控制日志生成过程，“Log4j2中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。”安域云防护的监测数据显示，截至12月10日中午12点，已发现近1万次利用该漏洞的攻击行为。据了解，该漏洞影响范围大，利用方式简单，攻击者仅需向目标输入一段代码，不需要用户执行任何多余操作即可触发该漏洞，使攻击者可以远程控制受害者服务器，90%以上基于java开发的应用平台都会受到影响。“Apache Log4j RCE 漏洞之所以能够引起安全圈的极大关注，不仅在于其易于利用，更在于它巨大的潜在危害性。当前几乎所有的技术巨头都在使用该开源组件，它所带来的危害就像多米诺骨牌一样，影响深远。”奇安信安全专家对贝壳 财经 记者表示。“这个漏洞严重性在于两点，一是log4j作为java日志的基础组件使用相当广泛，Apache和90%以上的java应用受到影响。二是这个漏洞的利用入口非常多，几乎达到了（只要）是这个漏洞影响的范围，只要有输入的地方就受到影响。用户或者攻击者直接可以输入的地方比如登录用户名、查询信息、设备名称等等，以及一些其他来源的被攻击者污染的数据来源比如网上一些页面等等。”从事多年漏洞挖掘的安全行业老兵，网友“yuange1975”在微博发文称。“简而言之，该漏洞算是这几年来最大的漏洞了。”郑陆表示。在“yuange1975”看来，该漏洞出来后，因为影响太广泛，IT圈都在加班加点修补漏洞。不过，一些圈子里发文章为了说明这个漏洞的严重性，又有点用了过高评价这个漏洞的词语，“我不否认这个漏洞很严重，肯定是排名很靠前的漏洞，但是要说是有史以来最大的网络漏洞，就是说目前所有已经发现公布的漏洞里排第一，这显然有点夸大了。”“log4j漏洞发现者恐怕发现漏洞时对这个漏洞认识不足，这个应用的范围以及漏洞触发路径，我相信一直到阿里云上报完漏洞，恐怕漏洞发现者都没完全明白这个漏洞的真正严重性，有可能当成了Apache下一个普通插件的一个漏洞。”yuange1975表示。9月1日起施行新规 专家：对于维护国家网络安全具有重大意义据了解，业界的开源条例遵循的是《负责任的安全漏洞披露流程》，这份文件将漏洞披露分为5个阶段，依次是发现、通告、确认、修复和发布。发现漏洞并上报给原厂商，是业内常见的程序漏洞披露的做法。贝壳 财经 记者观察到，白帽黑客建立漏洞发现与收集的平台并告知企业的做法一度在圈内流行。根据《 财经 天下》的报道，把漏洞报给原厂商而不是平台方，也会有潜在的好处。包括微软、苹果和谷歌在内的厂商对报告漏洞的人往往会有奖励，“最高的能给到十几万美元”。更重要的是名誉奖励。几乎每一家厂商对第一个报告漏洞的人或者集体，都会公开致谢。“对于安全研究人员而言，这种名声也会让他们非常在意。不过，今年9月1日后，这一行业“常见程序”就要发生变化。7月13日，工信部、国家网信办、公安部印发《网络产品安全漏洞管理规定》，要求任何组织或者个人设立的网络产品安全漏洞收集平台，应当在两日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。该规定自2021年9月1日起施行。值得注意的是，《规定》中也有漏洞发现者需要向产品相关提供者通报的条款。如《规定》第七条第一款显示，发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。第七条第七款则表示，不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。奇安信集团副总裁、补天漏洞响应平台主任张卓在接受新京报贝壳 财经 记者采访时表示，《网络产品安全漏洞管理规定》释放了一个重要信号：我国将首次以产品视角来管理漏洞，通过对网络产品漏洞的收集、研判、追踪、溯源，立足于供应链全链条，对网络产品进行全周期的漏洞风险跟踪，实现对我国各行各业网络安全的有效防护。在供应链安全威胁日益严重的全球形势下，《规定》对于维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行，具有重大意义。张卓表示，《规定》第十条指出，任何组织或者个人设立的网络产品安全漏洞收集平台，应当向工业和信息化部备案。同时在第六条中指出，鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞，还“鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制，对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。”这两条规定规范了漏洞收集平台和白帽子的行为，有利于让白帽子在合法合规的条件下发挥更大的 社会 价值。

该漏洞可以被犯罪分子或者网络黑客用于强制安装恶意程序、传播病毒并且植入木马等。而且系统漏洞很容易导致计算机上的关键信息和信息内容被盗，严重的情况会导致实际操作系统被破坏，计算机上的所有数据和信息都会丢失。如何防御计算机病毒？为了防止漏洞造成对于系统的破坏，应该立即给系统打贴补丁包，设置可靠的登录密码。安装杀毒软件按时扫描你的系统。如果你刚好是第一次运行防病毒手机软件，最好让它扫描你所有的系统。整洁无病毒问题地运行电脑是一件有效的事情。通常防病毒程序可以设置为扫描仪系统或在计算机每次运行时按时计划的基础上运行。计算机病毒是如何产生的？计算机病毒和其他合理合法的程序一样，是一个可执行的程序，但它不是一个完整的程序，而是生活在其他可执行的程序中。当这个程序执行时，病毒会起到破坏作用。病毒可以把自己潜伏在各种文档上，当文档被复制或从一个客户传输到另一个客户时，他们会陪同文档一起传播。传染性是病毒的本质特征。一旦互联网上的一台计算机中了病毒，这台计算机中的病毒就会根据各种渠道从感染的计算机蔓延到没有感染的计算机，从而完成自身繁殖。一个精致的计算机病毒程序，进入系统后一般不容易立即发病，而是潜伏在合理合法的文件中。病毒通常可以潜伏很长时间而不被发现。病毒的自限性越好，在系统中存在的时间越长，病毒感染的范围就越大。指病毒因某一时间或标志的发生而引诱病毒执行感或进攻的特点。计算机中毒后，很可能会导致所有正常程序无法运行，损坏计算机中的删除文件或不同水平的计算机文件。计算机病毒具有很强的隐藏性，有的可以根据计算机杀毒软件进行检测，有的基本找不到，这种病毒通常很难解决。
很严重，如果这个漏洞没有及时处理，那么可能会泄露数据，会影响市场，让很多计算机上面的消息全被人盗走。
漏洞可能会导致经济亏损，也会出现很严重的问题，运营方式会发生改变，如果不及时处理的话，有可能会导致公司破产。
降低阿里云的名誉，造成一定经济损害，可能会导致使用阿里云服务器的人电脑出现病毒，都是重要文件，影响正常运行。
信息泄露，泄露至国外。国防信息安全。

工信部这次暂停阿里云信息共享平台合作是因为阿里云在Web服务器阿帕奇下的开源日志组件log4j中发现了重大漏洞时并没有第一时间上报给工信部，而是上报了阿帕奇开源基金会。违反了工信部的规定将暂停阿里云作为信息共享平台的合作单位六个月，期满后根据阿里云的整改情况，在决定是否需要恢复阿里云合作单位的身份。log4j作为一款JAVA开发的开源日志记录工具，能够有效的记录程序在运行过程中产生的数据，对于分析系统存在的问题或者运行状态具有很大的作用，正因为log4j功能强大，所以在全球的使用性极其广泛。正因为其使用的范围很广，所以一旦出现问题，就会造成特别严重的后果。11月24日阿里云在log4j发现了Log4Shell重大漏洞，这个漏洞可以使得设备远程被控制，从而敏感信息会被窃取，设备中断等对系统造成严重的危害，属于高危漏洞，甚至有声音说这是十年来最大的漏洞。可是阿里云在发现这个漏洞后，并没有按照《网络产品安全漏洞管理规定》的要求 2天内向工信部门网络安全威胁和漏洞信息平台报送信息，而黑客在得知漏洞后，在72小时内就可以发起攻击，而国家安全漏洞共享平台在事情发生半个月后才获得这一漏洞。所以这次终止跟阿里云的合作，阿里云并不冤枉。再来看这件事对阿里云的影响，中信部门终止跟阿里云的合作，对阿里云在国内的发展势必造成影响，跟一些企业，尤其是国企的合作势必也会暂停。跟经济损失相比在信誉方面的损失会更大。你知道工信部暂停阿里云信息共享平台合作，这背后的原因是什么？ 欢迎留言讨论。
背后的原因是与工信部和阿里云信息共享平台约谈，但是阿里云信息共享平台却没有按照规定来，于是工信部就暂停了合作。
因为阿里云在Web服务器，阿帕奇下的开源日志组件log4j中发现了重大漏洞，但是没有第一时间上报给工信部，而是上报了阿帕奇开源基金会，这样做违反了工信部的规定。
因为该平台发现了严重的漏洞而且未及时汇报，导致了一定的安全隐患，所以才会与之暂停合作6个月。

阿里云因未及时上报漏洞被工信部作出处罚暂停列入合作单位六个月，待处罚期满后再决定是否跟阿里云继续合作。这样的处罚可以说是对阿里云的一个警示，在国家反垄断的大背景下，阿里云失去了跟工信部的合作关系，对其承接国家项目尤其是一些国企的项目会带来严重影响。与经济影响相对的是这次处罚带来的信誉影响更严重。阿里云作为国内云计算的龙头企业，承担了90%以上的中小企业云计算功能，如此庞大的规模，稍有不慎就可能会满盘皆输。下面来说一说整件事情：一、阿里云冤不冤这次发现的漏洞是基于阿帕奇Web服务器的log4j日志组件的，该组件被广泛应用于JAVA开发的各类程序中，因为其能帮助开发者分析系统运行情况以及状态。而这次发现的漏洞允许黑客通过该漏洞直接访问运行了log4j日志组件的服务器，相当于是把自己家门钥匙给了小偷。而在漏洞爆出了近半个月时间后工信部才接到别的安全企业发出的通知，相当于国内的服务器裸奔了近半月之久，所以作出这个处罚阿里云一点都不冤枉。二、阿里云潜在问题通过这件事情也暴露出阿里云潜在的问题，发现漏洞第一时间上报给了行业协会，但是并没有报告国家主管部门，不能只遵守行业协会的规定，而置国家法律法规不顾，这也体现了对法规条款学习的不到位。三、后续影响这件事对阿里云的影响不仅仅是经济上的，更多的是信誉上的，这件事后相信阿里云承接国企的项目难度会加大很多。你知道阿里云未及时上报漏洞受到了怎样的处罚吗？欢迎留言讨论。
应该对阿里云这样的事情做出一定的批评，同时也应该做出罚款，因为这样的事情很有可能会对很多的人们利益造成伤害。
如果有告知的义务而没有告知，那是该罚。如果没有义务呢？总有个标准吧？普通民众不明就理，希望媒体公开，公平，公正的报道相关消息。而不是空穴来风。这是做新闻的最起码底线。
工信部暂停了阿里云公司和相关合作单位六个月，责令整改，根据云公司的整改情况，酌情恢复合作单位。
暂停了阿里云和工信部门的工作6个月，等待阿里公司整顿完毕以后，在恢复合作。