关于乌云平台暂停服务的公告
7月20日上午,有消息称,国内知名漏洞报告平台乌云今日无法访问。乌云随后发布公告称,原因是官方正在进行升级。昨日,国内另一家漏洞报告平台漏洞盒子宣布暂停接受互联网漏洞及威胁情报。这意味着国内两大知名漏洞报告平台进入“暂停”状态,但具体原因尚不清楚。
新浪科技随即致电乌云社区负责人方晓顿,但电话无人接听。
乌云是国内最知名的白帽子社区,所谓白帽子,就是积极主动的黑客,这个群体会及时发现各大互联网平台的漏洞并提交报告,并在发现漏洞之前提醒对方修复。
乌云运营团队在官网声明中表示,乌云及相关服务即将升级,将在最短的时间内回归……无论过去、现在、还是将来,我们都会继续这样做。
乌云还在公告中强调:乌云始终致力于让安全成为用户选择产品的重要考虑因素之一,推动企业更加重视安全,让更多人关注安全、重视安全,从而打造更美好的安全生态。
漏洞盒公告
值得一提的是,乌云的公告与漏洞盒子的公告类似,漏洞盒子在公告中表示:近期漏洞盒子管理团队将梳理互联网漏洞与威胁情报项目中的流程体系和规范,完善过程中将暂停项目相关的漏洞与威胁情报受理,新流程将于近期上线,相信能帮助“白帽子”与企业建立起真正的信任关系。
虽然没有明确说明,但外界认为,两大漏洞报告平台的“停用”及对外公布或与“袁威事件”有关。
袁伟是互联网漏洞报告平台“乌云”的一名白帽子,去年12月,他向乌云提交了自己发现的婚恋网站世纪佳缘的系统漏洞。在世纪佳缘按照乌云平台惯例确认并修复了漏洞并向漏洞提交者致谢后,事情突然出现转折。
佳缘一个多月后报警,称“网站数据被非法窃取”。4月,袁伟被司法机关逮捕。在前不久召开的第四届网络安全大会上,袁伟父亲发表公开信为儿子讨回公道,让袁伟的经历成为网络安全圈热议话题。
对于袁伟被抓,有传言称世纪佳缘网系“钓鱼”,也有人质疑世纪佳缘网为何在向乌云及漏洞提交者致谢一个多月后,突然报警。世纪佳缘网对此回应称:“自乌云将网站漏洞告知本公司以来,世纪佳缘网从未获取漏洞提交者的联系方式并与其联系。在警方披露调查结果前,世纪佳缘网并不知晓网站攻击者与漏洞提交者是何种关系。世纪佳缘网报警是出于对用户隐私和公民信息安全的考虑,并非针对任何个人或组织。”
根据袁伟父亲在公开信中的描述,袁伟于去年12月3日下午发现了世纪佳缘网网站存在漏洞;当晚,为了验证漏洞情况,他通过发现的漏洞浏览了世纪佳缘网部分数据并确认了漏洞的存在;次日上午,袁伟将漏洞提交给乌云,乌云于当天通知了世纪佳缘网;12月7日,漏洞修复后,世纪佳缘网在乌云平台的漏洞确认页面对漏洞提交者表示感谢。今年1月18日,世纪佳缘网向北京市公安局朝阳分局举报其数据被窃取;3月8日,袁伟被刑事拘留;4月12日,北京市朝阳检察院以涉嫌非法获取计算机信息系统数据罪将袁伟逮捕。
但世纪佳缘并未承认“钓鱼”说法,在表示感谢一个月后突然报警。世纪佳缘CEO吴林光在知乎上解释道:“在漏洞修复过程中,我们发现900多条有效数据被攻击者获取,出于对用户数据和信息安全的担忧,我们选择报警。”他还称,“在警方披露调查结果前,我们并不知道提交漏洞的白帽子和攻击者是同一个人。”
需要注意的是,在“袁伟事件”之后,白帽子平台的规则规范又开始受到关注,而此次事件很有可能成为国内白帽子的转折点。
一方面是对于个人数据和白帽行为监管的担忧,另一方面是白帽群体的处境,因为从法律上来说,白帽行为并不受法律保护,处于灰色地带。
袁伟被抓后,世纪佳缘网成了白帽黑客的“公敌”,短短几天内,又有数个世纪佳缘网漏洞在乌云上曝光,愤怒的白帽黑客们用自己的方式表达对世纪佳缘网的不满。
知名白帽子“猪八戒”上周向乌云提交了一个关于世纪佳缘的漏洞,在说明中他特意写道,“如果厂商不愿接受来自互联网的草率测试,你可以在漏洞修复后点击忽略,并在厂商的回复中留言‘请不要测试我公司,我们将采取法律手段限制你的测试行为,后果由你承担’,之后按照国际黑名单做法,就没人会关注贵公司信息系统的安全风险了。”讽刺意味十足。
从目前的进展来看,“袁伟事件”的走向与处罚,将成为白帽子团体与漏洞报告平台“命运”的关键节点。