正确的提示信息
扫码打开虎嗅APP
从思考到创造
打开APP
资讯
视频
车与出行
年轻一代
十亿消费者
前沿科技
财经
娱乐淘金
医疗健康
文化教育
出海
金融地产
企业服务
创业维艰
社交通讯
全球热点
生活腔调
榜单
虎嗅视界
24小时
活动
妙投APP
虎嗅智库
登录
极速注册
取消
搜索历史
删除
完成
全部删除
数码
互联网
数码
互联网
热搜词
新能源汽车
自动驾驶
出境游
生活
互联网
游戏
微信
马斯克
网约车
账号或密码错误
2014-03-24 18:10
乌云的“暧昧地带”
匿名
2014年3月23日晚6点,乌云漏洞平台(乌云网)曝出携程安全支付服务器接口存在调试功能,可将用户的支付记录保存下来,包括持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息。 由于涉及个人财务信息泄露,引发了社会各界的强烈关注,人民日报、央视网、新浪科技、财经网等媒体争相报道,众说纷纭。
携程日志中存储用户敏感信息无疑是错误和愚蠢的,在舆论将携程推向风头浪尖之时,笔者对乌云网产生了强烈的好奇。翻看乌云网的漏洞爆料历史记录,令人震惊:
2013年10月10日,如家等酒店开房信息泄露;
11月20日,腾讯7000万QQ群用户数据被指泄露;
11月26日,360出现任意用户修改密码漏洞;
2014年2月17日支付宝/余额宝任意登录漏洞,网民账号面临风险;
2014年2月26日,微信敏感信息泄露漏洞,造成海量用户视频泄露,影响堪比XX门……
一系列泄密事件让乌云网,让这个原本默默无闻的网站声名鹊起。人们在质疑相关企业不负责任表现的同时,也对乌云网充满疑问:这究竟是怎样的一个平台,为何能连环曝出各大公司的漏洞?乌云网背后,究竟有多少秘密?
乌云背后的“月之眼”
乌云网(WooYun)成立于2010年5月,主要创始人为百度前安全专家方小顿——这位1987年出生的国内知名黑客“剑心”,2010年2月和李彦宏一道参加湖南卫视《天天向上》节目,因为女友高歌一首而为人所知。此后,方小顿联合几位安全界人士成立了乌云网,其目标是成为“自由平等的”的漏洞报告平台。
在百度百科中,乌云是这样描述自己的:一个位于厂商和安全研究者之间的安全问题反馈平台,在对安全问题进行反馈处理跟进的同时,为互联网安全研究者提供一个公益、学习、交流和研究的平台。
尽管乌云将自己的形象打造为公益的第三方组织,以获取白帽子与社会的信任。但经过查证,乌云网并非一个公立第三方机构,而是纯粹的民营公司,其收入来源于其漏洞披露规则。
对于一般漏洞而言,乌云网规则如下:
1、 白帽子提交漏洞并通过审核后,乌云网会公布漏洞概要,内容包括漏洞标题、涉及厂商、漏洞类型与简要描述;
2、厂商有5天的确认周期(5天内未确认视为忽略,但不公开,直接进入3);
3、确认3天后对安全合作伙伴公开;
4、10天后向核心及相关领域专家公开;
5、20天后向普通白帽子公开;
6、40天后向实习白帽子公开;
7、90天后向公众公开。
值得一提的是,乌云网所公布的漏洞标题完全来源于白帽子提交,并没有任何审核与修改,“可导致千余服务器沦陷”“近千万的用户数据存在泄露风险”等夸张标题比比皆是,随意一个漏洞经媒体传播皆可以引起大众恐慌。
漏洞披露,更是一场狂欢
在普通公众心中,神秘和危险是黑客的代名词。但在黑客界,所有黑客主要被归为两种类型:白帽子与黑帽子,愿意向企业公布漏洞、不恶意利用漏洞的就是白帽子,而黑帽子则是以盗取信息牟利为生。
此次携程漏洞的发现者“猪猪侠”是乌云排名最高的白帽子,发布漏洞高达125个。3月22日晚,猪猪侠连续发布了两枚关于携程的严重安全漏洞,而在猪猪侠之前的战绩中,曾发布腾讯、阿里、网易、优酷、联想在内的多家知名企业漏洞,是一位名副其实的黑客高手。
乌云:黑客们的乌托邦
“因为未授权的黑盒安全测试是违法的,所以圈内流行这样一种做法:黑客们入侵网站盗取信息,最后只要在乌云网向厂商提交漏洞,就可以洗白。”
Z还向笔者展示了乌云网的一个非公开论坛,该论坛只有获得审核的白帽子才能进入。笔者在这个隐秘论坛中发现,黑色产业、网赚、网络战争等话题都有专门的讨论版块。在2013年12月新浪科技发布的《揭秘乌云网》一文中,乌云网被质疑为“中国最大的黑客培训基地”,如下图:
类似的话题在该论坛中比比皆是,众多白帽子摇身一变,在这个温室中讨论着漏洞利用技术,如何利用这些漏洞去做黑产,游走在法律的灰色地带。
(虎嗅注:乌云方面回应:“这个问题我们内部有过讨论,但是攻击和防御本来就是一体的。”)
安全漏洞会成为互联网时代最强大的公关武器?
伴随着互联网的飞速发展,国内地下黑色产业链也在日益庞大,安全漏洞真在威胁到每个人的实际利益。
2014年2月17日爆出支付宝/余额宝任意登录漏洞后,阿里公关迅速出击,拿出现金500万奖励白帽子盖过舆论。在此之后,关于微信支付与支付宝的互相职责安全性差的公关稿连绵不绝。
以安全为名,背后实为互联网商业之战的封杀与反封杀、黑公关与反黑事件,正愈演愈烈
,而乌云网在其中扮演了推波助澜的作用。
鉴于乌云网连续披露的安全事件引发了前所未有的社会关注,于是最近有专家开始质疑乌云网的漏洞披露规则是否合法:媒体根据乌云所公布的漏洞标题和简述疯狂报道。那么如果有人蓄意发布虚假漏洞,势必企业造成非常恶劣的影响,这个责任谁来承担?一家民营公司,掌握如此多的安全漏洞,并以漏洞披露作为商业模式,其本身又是否踩在法律的灰色地带?
互联网工作组在RFC2026《负责任的漏洞披露过程》草案中提到,“报告者应确保漏洞是真实的。”但当漏洞在乌云网发布之后、企业确认之前,漏洞的真实性与准确性无从知晓。负责任的安全漏洞披露应该是严谨的,任何发现漏洞的技术工作者,应说清楚漏洞的影响范围,以免引起不必要的大众恐慌,比如这次携程信用卡门,即便乌云网因自身需求,急待媒体曝光和炒作,但也理应说明泄露的信息是否经加密,影响的范围是怎样,而不是成为所谓的“标题党”,以安全为名挟持企业。
安全漏洞的公开是必要的,这不仅是对用户的负责,更是对企业安全的监督,但如何真正做到负责任的漏洞披露,是否需要一个更合理的漏洞处理机制,这些问题值得我们深思。
本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系 hezuo@huxiu.com
如对本稿件有异议或投诉,请联系tougao@huxiu.com
打开虎嗅APP,查看全文
支持一下
赞赏
0人已赞赏
分享至:
1
大 家 都 在 看
【早报】乌云报告显示:多家酒店的开房记录被泄露
虎嗅
08:17
#内幕大揭秘
我要经历多少黑客套路才能快乐上网?
知未科技
如果你是携程用户,请注意头顶的安全乌云
虎嗅
白帽子是如何炼成的?乌云网创始人如是说
虎嗅
那家拥有30亿人脸数据的美国AI公司,被黑了
智东西
07:22
#AI有多智能
网暴离我们越来越近?“盒武器”究竟有多可怕
奇点Video
马斯克硬刚OpenAI,殃及池鱼
字母榜
互联网创业流氓简史
大湾腹地
花钱雇黑客帮忙找bug,Zoom的客户们瑟瑟发抖
量子位
总被黑客“惦记”的游戏厂商,还有什么好办法吗?
触乐网
揪出那个“匿名发帖人”
字母榜
GitHub封禁开源项目,怀疑开发者在“造核弹”?
极客邦科技InfoQ
05:38
#内幕大揭秘
蔚来遭遇数据勒索,但普通人无需恐惧
脑极体
09:39
#内幕大揭秘
暗网不是“法外之地”和“避罪天堂”
初尔资本菌
14:30
令人绝望的是,就连黑客也无法阻止隐私数据被记录和传输
造就Talk
08:48
#电子速谈
黑客难挡,推特都保不住世界首富的数据安全?
小信所长
16:41
#内幕大揭秘
3Q大战:中国互联网的草莽争雄
一心博士only
08:04
#内幕大揭秘
IP属地公开后,究竟谁在“裸泳”?
科技狐
08:03
#睁眼看世界
黑了比尔盖茨等推特大V的帐号,能骗到多少钱?
阑夕
08:42
#想通了吗
“偷听”太简单,隐私早完蛋
想通了吗
大 家 都 在 搜
新能源汽车
自动驾驶
出境游
生活
互联网
游戏
微信
马斯克
网约车
APP内打开
好的内容,值得赞赏
您的赞赏金额会直接进入作者的虎嗅账号
自定义
支付:
元
匿名赞赏
支付