正确的提示信息
扫码打开虎嗅APP
从思考到创造
打开APP
资讯
视频
前沿科技
车与出行
商业消费
社会文化
金融财经
出海
国际热点
游戏娱乐
健康
书影音
医疗
3C数码
观点
其他
虎嗅视界
24小时
专题/活动
虎嗅智库
登录
极速注册
取消
搜索历史
删除
完成
全部删除
数码
互联网
数码
互联网
热搜词
钟睒睒
短视频
本地生活
货币
生活方式
阿里巴巴
今日头条
楼市
投资心理
账号或密码错误
2014-03-24 18:10
乌云的“暧昧地带”
匿名
2014年3月23日晚6点,乌云漏洞平台(乌云网)曝出携程安全支付服务器接口存在调试功能,可将用户的支付记录保存下来,包括持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息。 由于涉及个人财务信息泄露,引发了社会各界的强烈关注,人民日报、央视网、新浪科技、财经网等媒体争相报道,众说纷纭。
携程日志中存储用户敏感信息无疑是错误和愚蠢的,在舆论将携程推向风头浪尖之时,笔者对乌云网产生了强烈的好奇。翻看乌云网的漏洞爆料历史记录,令人震惊:
2013年10月10日,如家等酒店开房信息泄露;
11月20日,腾讯7000万QQ群用户数据被指泄露;
11月26日,360出现任意用户修改密码漏洞;
2014年2月17日支付宝/余额宝任意登录漏洞,网民账号面临风险;
2014年2月26日,微信敏感信息泄露漏洞,造成海量用户视频泄露,影响堪比XX门……
一系列泄密事件让乌云网,让这个原本默默无闻的网站声名鹊起。人们在质疑相关企业不负责任表现的同时,也对乌云网充满疑问:这究竟是怎样的一个平台,为何能连环曝出各大公司的漏洞?乌云网背后,究竟有多少秘密?
乌云背后的“月之眼”
乌云网(WooYun)成立于2010年5月,主要创始人为百度前安全专家方小顿——这位1987年出生的国内知名黑客“剑心”,2010年2月和李彦宏一道参加湖南卫视《天天向上》节目,因为女友高歌一首而为人所知。此后,方小顿联合几位安全界人士成立了乌云网,其目标是成为“自由平等的”的漏洞报告平台。
在百度百科中,乌云是这样描述自己的:一个位于厂商和安全研究者之间的安全问题反馈平台,在对安全问题进行反馈处理跟进的同时,为互联网安全研究者提供一个公益、学习、交流和研究的平台。
尽管乌云将自己的形象打造为公益的第三方组织,以获取白帽子与社会的信任。但经过查证,乌云网并非一个公立第三方机构,而是纯粹的民营公司,其收入来源于其漏洞披露规则。
对于一般漏洞而言,乌云网规则如下:
1、 白帽子提交漏洞并通过审核后,乌云网会公布漏洞概要,内容包括漏洞标题、涉及厂商、漏洞类型与简要描述;
2、厂商有5天的确认周期(5天内未确认视为忽略,但不公开,直接进入3);
3、确认3天后对安全合作伙伴公开;
4、10天后向核心及相关领域专家公开;
5、20天后向普通白帽子公开;
6、40天后向实习白帽子公开;
7、90天后向公众公开。
值得一提的是,乌云网所公布的漏洞标题完全来源于白帽子提交,并没有任何审核与修改,“可导致千余服务器沦陷”“近千万的用户数据存在泄露风险”等夸张标题比比皆是,随意一个漏洞经媒体传播皆可以引起大众恐慌。
漏洞披露,更是一场狂欢
在普通公众心中,神秘和危险是黑客的代名词。但在黑客界,所有黑客主要被归为两种类型:白帽子与黑帽子,愿意向企业公布漏洞、不恶意利用漏洞的就是白帽子,而黑帽子则是以盗取信息牟利为生。
此次携程漏洞的发现者“猪猪侠”是乌云排名最高的白帽子,发布漏洞高达125个。3月22日晚,猪猪侠连续发布了两枚关于携程的严重安全漏洞,而在猪猪侠之前的战绩中,曾发布腾讯、阿里、网易、优酷、联想在内的多家知名企业漏洞,是一位名副其实的黑客高手。
乌云:黑客们的乌托邦
“因为未授权的黑盒安全测试是违法的,所以圈内流行这样一种做法:黑客们入侵网站盗取信息,最后只要在乌云网向厂商提交漏洞,就可以洗白。”
Z还向笔者展示了乌云网的一个非公开论坛,该论坛只有获得审核的白帽子才能进入。笔者在这个隐秘论坛中发现,黑色产业、网赚、网络战争等话题都有专门的讨论版块。在2013年12月新浪科技发布的《揭秘乌云网》一文中,乌云网被质疑为“中国最大的黑客培训基地”,如下图:
类似的话题在该论坛中比比皆是,众多白帽子摇身一变,在这个温室中讨论着漏洞利用技术,如何利用这些漏洞去做黑产,游走在法律的灰色地带。
(虎嗅注:乌云方面回应:“这个问题我们内部有过讨论,但是攻击和防御本来就是一体的。”)
安全漏洞会成为互联网时代最强大的公关武器?
伴随着互联网的飞速发展,国内地下黑色产业链也在日益庞大,安全漏洞真在威胁到每个人的实际利益。
2014年2月17日爆出支付宝/余额宝任意登录漏洞后,阿里公关迅速出击,拿出现金500万奖励白帽子盖过舆论。在此之后,关于微信支付与支付宝的互相职责安全性差的公关稿连绵不绝。
以安全为名,背后实为互联网商业之战的封杀与反封杀、黑公关与反黑事件,正愈演愈烈
,而乌云网在其中扮演了推波助澜的作用。
鉴于乌云网连续披露的安全事件引发了前所未有的社会关注,于是最近有专家开始质疑乌云网的漏洞披露规则是否合法:媒体根据乌云所公布的漏洞标题和简述疯狂报道。那么如果有人蓄意发布虚假漏洞,势必企业造成非常恶劣的影响,这个责任谁来承担?一家民营公司,掌握如此多的安全漏洞,并以漏洞披露作为商业模式,其本身又是否踩在法律的灰色地带?
互联网工作组在RFC2026《负责任的漏洞披露过程》草案中提到,“报告者应确保漏洞是真实的。”但当漏洞在乌云网发布之后、企业确认之前,漏洞的真实性与准确性无从知晓。负责任的安全漏洞披露应该是严谨的,任何发现漏洞的技术工作者,应说清楚漏洞的影响范围,以免引起不必要的大众恐慌,比如这次携程信用卡门,即便乌云网因自身需求,急待媒体曝光和炒作,但也理应说明泄露的信息是否经加密,影响的范围是怎样,而不是成为所谓的“标题党”,以安全为名挟持企业。
安全漏洞的公开是必要的,这不仅是对用户的负责,更是对企业安全的监督,但如何真正做到负责任的漏洞披露,是否需要一个更合理的漏洞处理机制,这些问题值得我们深思。
本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系 hezuo@huxiu.com
如对本稿件有异议或投诉,请联系tougao@huxiu.com
打开虎嗅APP,查看全文
频道:
金融财经
支持一下
赞赏
0人已赞赏
分享至:
1
大 家 都 在 看
【早报】乌云报告显示:多家酒店的开房记录被泄露
虎嗅
08:17
#内幕大揭秘
我要经历多少黑客套路才能快乐上网?
知未科技
如果你是携程用户,请注意头顶的安全乌云
虎嗅
白帽子是如何炼成的?乌云网创始人如是说
虎嗅
那家拥有30亿人脸数据的美国AI公司,被黑了
智东西
07:22
#AI有多智能
网暴离我们越来越近?“盒武器”究竟有多可怕
奇点Video
马斯克硬刚OpenAI,殃及池鱼
字母榜
互联网创业流氓简史
大湾腹地
花钱雇黑客帮忙找bug,Zoom的客户们瑟瑟发抖
量子位
总被黑客“惦记”的游戏厂商,还有什么好办法吗?
触乐网
揪出那个“匿名发帖人”
字母榜
GitHub封禁开源项目,怀疑开发者在“造核弹”?
极客邦科技InfoQ
05:38
#内幕大揭秘
蔚来遭遇数据勒索,但普通人无需恐惧
脑极体
09:39
#内幕大揭秘
暗网不是“法外之地”和“避罪天堂”
初尔资本菌
14:30
令人绝望的是,就连黑客也无法阻止隐私数据被记录和传输
造就Talk
08:48
#电子速谈
黑客难挡,推特都保不住世界首富的数据安全?
小信所长
16:41
#内幕大揭秘
3Q大战:中国互联网的草莽争雄
一心博士only
08:04
#内幕大揭秘
IP属地公开后,究竟谁在“裸泳”?
科技狐
08:03
#睁眼看世界
黑了比尔盖茨等推特大V的帐号,能骗到多少钱?
阑夕
08:42
#想通了吗
“偷听”太简单,隐私早完蛋
想通了吗
大 家 都 在 搜
钟睒睒
短视频
本地生活
货币
生活方式
阿里巴巴
今日头条
楼市
投资心理
APP内打开
好的内容,值得赞赏
您的赞赏金额会直接进入作者的虎嗅账号
自定义
支付:
元
匿名赞赏
支付