烏云平臺(tái)暫停公告
7月20日上午消息,國(guó)內(nèi)知名漏洞報(bào)告平臺(tái)烏云今日出現(xiàn)無(wú)法訪問(wèn),其后烏云發(fā)公告稱,原因是官方正在進(jìn)行升級(jí)。昨日,國(guó)內(nèi)另一漏洞報(bào)告平臺(tái)漏洞盒子宣布,暫停接受互聯(lián)網(wǎng)漏洞與威脅情報(bào)。這意味著國(guó)內(nèi)兩大知名漏洞報(bào)告平臺(tái)先后進(jìn)入“暫停”狀態(tài),但具體原因尚不明確。
新浪科技第一時(shí)間致電聯(lián)系了烏云社區(qū)負(fù)責(zé)人方小頓,但對(duì)方電話處于無(wú)人接聽(tīng)狀態(tài)。
烏云是國(guó)內(nèi)最知名的白帽子社區(qū),所謂白帽子即正面黑客,這個(gè)群體會(huì)及時(shí)發(fā)現(xiàn)各互聯(lián)網(wǎng)平臺(tái)漏洞,并提交報(bào)告,在此之前會(huì)提醒對(duì)方修復(fù)。
烏云運(yùn)營(yíng)團(tuán)隊(duì)在官網(wǎng)聲明中稱,烏云及相關(guān)服務(wù)將進(jìn)行升級(jí),將在最短的時(shí)間內(nèi)回歸……不管是從前,現(xiàn)在,還是未來(lái),我們都將堅(jiān)持這么做下去。
烏云還在公告中強(qiáng)調(diào):一直以來(lái),烏云致力于讓安全性作為用戶選擇產(chǎn)品的重要考量之一,促進(jìn)企業(yè)更重視安全,讓更多人重視安全關(guān)注安全,從而營(yíng)造出更好的安全生態(tài)。
漏洞盒子公告
值得一提的是,烏云的公告與漏洞盒子的公告有相似之處,漏洞盒子在其公告中表示:近期,漏洞盒子管理團(tuán)隊(duì)將對(duì)互聯(lián)網(wǎng)漏洞與威脅情報(bào)項(xiàng)目中的流程制度、規(guī)范等進(jìn)行梳理。在改進(jìn)的過(guò)程中,暫停該項(xiàng)目相關(guān)漏洞與威脅情報(bào)接受,新的流程將于近期上線。相信能夠幫助’白帽子’與企業(yè)之間建立真正信任的關(guān)系。
雖然未明確說(shuō)明,但外界認(rèn)為兩大漏洞報(bào)告平臺(tái)的“暫停”和對(duì)外公告,可能與“袁煒事件”有關(guān)。
袁煒是互聯(lián)網(wǎng)漏洞報(bào)告平臺(tái)“烏云”上的一名白帽子。去年12月份,他在烏云提交了其發(fā)現(xiàn)的婚戀交友網(wǎng)站世紀(jì)佳緣的系統(tǒng)漏洞。在世紀(jì)佳緣確認(rèn)、修復(fù)了漏洞并按烏云平臺(tái)慣例向漏洞提交者致謝后,事情突然發(fā)生轉(zhuǎn)折。
世紀(jì)佳緣在一個(gè)多月后以“網(wǎng)站數(shù)據(jù)被非法竊取”為由報(bào)警,4月份,袁煒被司法機(jī)關(guān)逮捕。在不久前的第四屆網(wǎng)絡(luò)安全大會(huì)上,袁煒的父親發(fā)出公開(kāi)信為兒子鳴冤,讓袁煒的遭遇成為網(wǎng)絡(luò)安全圈的熱門(mén)事件。
關(guān)于袁煒被抓,坊間傳出世紀(jì)佳緣“釣魚(yú)”的說(shuō)法,有人質(zhì)疑為何世紀(jì)佳緣在向?yàn)踉坪吐┒刺峤徽咧轮x后的一個(gè)多月又突然報(bào)警。對(duì)此,世紀(jì)佳緣方面給出了回應(yīng):“自烏云通知公司網(wǎng)站存在漏洞至今,世紀(jì)佳緣從未獲得過(guò)漏洞提交人的聯(lián)系方式并與之取得聯(lián)系。在警方披露調(diào)查結(jié)果前,世紀(jì)佳緣并不了解網(wǎng)站攻擊者與漏洞提交者有何種關(guān)聯(lián)。世紀(jì)佳緣報(bào)警是出于對(duì)用戶隱私和公民信息安全的考慮,并不針對(duì)任何個(gè)人或組織。”
按照袁煒父親在公開(kāi)信中的描述,袁煒于去年12月3日下午發(fā)現(xiàn)世紀(jì)佳緣網(wǎng)站漏洞;當(dāng)天晚上,他為了驗(yàn)證漏洞,又通過(guò)發(fā)現(xiàn)的漏洞瀏覽了世紀(jì)佳緣的部分?jǐn)?shù)據(jù),確認(rèn)漏洞存在;次日上午,袁煒向?yàn)踉铺峤辉撀┒矗惶鞛踉仆ㄖ兰o(jì)佳緣;12月7日,在完成漏洞修復(fù)后,世紀(jì)佳緣在烏云平臺(tái)確認(rèn)漏洞的頁(yè)面向該漏洞提交者表示感謝。今年1月18日,世紀(jì)佳緣向北京市公安局朝陽(yáng)分局報(bào)案稱數(shù)據(jù)被竊取;3月8日,袁煒被刑事拘留;4月12日,北京朝陽(yáng)檢察院以涉嫌非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)犯罪,批捕袁煒。
但世紀(jì)佳緣并不承認(rèn)“釣魚(yú)”的說(shuō)法,并對(duì)表示感謝后一個(gè)月突然報(bào)警的行為,世紀(jì)佳緣CEO吳琳光則在知乎上解釋稱:“在漏洞修復(fù)過(guò)程中,我們發(fā)現(xiàn)有900多條有效數(shù)據(jù)被攻擊者獲取,出于對(duì)用戶數(shù)據(jù)和信息安全的擔(dān)憂,我們選擇了報(bào)警。”他同時(shí)表示,“在警方披露調(diào)查結(jié)果之前,我們并不知道提交漏洞的白帽子和攻擊者是同一個(gè)人。”
需要說(shuō)明的是,“袁煒事件”后,白帽子平臺(tái)的規(guī)則和規(guī)范開(kāi)始再度引起關(guān)注,而且此事極有可能成為國(guó)內(nèi)白帽子們的轉(zhuǎn)擇點(diǎn)。
一方面是對(duì)涉及個(gè)人數(shù)據(jù)的關(guān)注,以及白帽子行為的規(guī)范。另一方面則是白帽子群體的處境,因?yàn)閺姆缮蟻?lái)說(shuō),目前白帽子的行為并不受法律保護(hù),處于灰色地帶。
在袁煒被抓后,世紀(jì)佳緣一度成為了白帽子“公敵”,短短幾天時(shí)間,又有多個(gè)世紀(jì)佳緣的漏洞在烏云上被公布。被激怒的白帽子們?cè)谟米约旱姆绞奖磉_(dá)對(duì)世紀(jì)佳緣的不滿。
知名白帽子“豬豬俠”上周在烏云提交了一個(gè)關(guān)于世紀(jì)佳緣的漏洞,在說(shuō)明中,他特意寫(xiě)道“如果廠商不愿意接受來(lái)自互聯(lián)網(wǎng)的貿(mào)然測(cè)試,可在修復(fù)本漏洞后點(diǎn)擊忽略該漏洞,并在廠商回復(fù)處留下‘請(qǐng)不要測(cè)試本公司,本公司將采取法律手段約束你們的測(cè)試行為,后果自負(fù)。’之后走國(guó)際黑名單慣例,不會(huì)再有人關(guān)注貴公司信息系統(tǒng)的安全風(fēng)險(xiǎn)。”諷刺意味十足。
目前進(jìn)展來(lái)看,“袁煒事件”的走向、判罰等將成為白帽子群體和漏洞報(bào)告平臺(tái)“命運(yùn)”的關(guān)鍵節(jié)點(diǎn)。
