主页 > 创投 > 正文

乌云网停摆

2018-01-12 14:14来源:网络整理

白帽子黑客是在“排雷”还是“撬保险柜”,技术上很难分辨。(视觉中国/图)

在互联网世界,乌云网一直扮演着“守护者”角色。但乌云网模式自诞生起,就一直行走在灰色地带,因而备受争议。乌云网此次危机,正是这一灰色地带的风险爆发所致。

“我出去躲两天。”

方小顿显然没有意识到事态的严重性,前不久,他在朋友圈发“跑路”信息时,还配上了一组做鬼脸的微信表情。以IT男为主的好友群体纷纷点赞,并配合字里行间的轻松姿态,附上留言:“方小遁”。

他终究没能“逃遁“成功。2016年7月20日,著名漏洞报告平台乌云网(Woo Yun)贴出“服务升级”公告,网站一时无法访问。与此同时,南方周末记者从多处信源获悉,包括方小顿在内的“多名高管被抓”,乌云网被迫停摆。方小顿网络ID叫“剑心”,是乌云网的创始人之一,也是赫赫有名的“白帽子”黑客。

在黑客江湖,一部分群体通过攻击系统漏洞获取数据,再把信息兜售至黑市牟利,被称为“黑帽子”黑客;另一部分是“正面角色”,号称只是将检测出的bug提交至报告平台进行公布,提醒、倒逼企业注重用户的数据安全,被称为“白帽子”黑客。

一般而言,白帽子先将自己发现的漏洞提交至漏洞报告平台,审核通过后会粗略发布漏洞情况,并等待涉事单位认领。如若几十天后仍没有机构联络平台,将进一步公布漏洞细节内容。一直以来,乌云网以这种方式公布信息,敦促企业加强安全意识。

“往往不是黑帽子或者白帽子,而是斑马,白天黑,晚上又洗白。”付德明对南方周末记者说,漏洞提交前,黑帽子与白帽子的身份界定模糊,提交后公布环节的流程不规范,造成乌云网模式自诞生起,就在法律与道义上备受争议。付德明在一家世界500强公司做企业网络安全防卫工作。

此番乌云网被查事件在业界造成震荡,再次引发了一场网络伦理的讨论。

“这次是摊上更大的事儿了”

“这次是踩上雷了,帮不了他们(乌云网)了。”一位与乌云网有业务往来的IT人士刘萍告诉南方周末记者。

刘萍介绍,实际上乌云网已经被查处,多名高管也“被抓”。

7月19日,另一家互联网测试平台漏洞盒子宣布,暂停接受互联网漏洞与威胁情报。而且,“白帽子”黑客报告漏洞的页面已经无法查看。漏洞盒子也发布了公告,称“要对流程制度、规范等进行梳理”。

乌云网成立于2010年5月份。在一期视频演讲节目中,方小顿回忆,自己在百度做网络安全方面的工作时发现,国内除了BAT等几个巨头之外,很少有公司有强烈的网络安全意识,并且愿意耗费时间、精力保护用户的数据信息。所以,有了成立一家平台,敦促企业注重安全的念头。

以网络ID“剑心”为身份,在互联网黑客江湖小有名气的方小顿,联合几位同道者,成立了乌云网。其宗旨是成为“自由平等”的漏洞报告平台,为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的修复。

据《电脑报》报道,乌云网的成名战发生在2011年年底。当年11月,乌云网根据白帽子提供的各种材料,连续披露京东商城、支付宝、网易等互联网巨头存在高危漏洞,12月29日更是指出支付宝1500万至2500万用户资料泄露,以及一家政务网444万用户信息泄露。

此后,乌云网又相继披露出酒店开房信息泄露、支付宝漏洞、搜狗浏览器泄露用户数据、腾讯7000万QQ群用户数据泄露等一系列重大的漏洞事件。

中科院软件研究院博导丁丽萍曾参加过乌云网组织的圆桌会议。她对南方周末记者说,一直以来,乌云网争议的焦点是,有没有权利检测别人的漏洞,以及有没有权利公开漏洞——即便有着高尚的出发点。

直到2015年12月,在乌云网上提交漏洞的“白帽子”第一次“出事”。2015年12月,杭州的IT人士袁炜,在乌云提交了他发现的世纪佳缘网站系统漏洞。

在世纪佳缘确认、修复了漏洞,并按乌云平台惯例向漏洞提交者致谢后,事态竟急转直下,世纪佳缘不久后以“网站数据被非法窃取”为由报警。2016年4月份,袁炜被司法机关逮捕。

袁炜妻子戴女士告诉南方周末记者,袁炜是严格按照乌云网的发布流程提交的漏洞,但是世纪佳缘在追究责任时,“绕过了乌云,以及袁炜白帽子身份”。她说,袁炜的案子目前仍未出结果。

有人将此次乌云网停摆与世纪佳缘漏洞相联系,认为是上次事件的发酵。但是付德明予以否认。

乌云网的创始人方小顿。(视觉中国/图)

“探地雷”与“撬保险箱”

上一篇:乌云压顶
下一篇:如家等知名酒店开房记录被泄露 乌云网或涉嫌侵