两大漏洞报告平台突然关闭:乌云和漏洞盒子宣布停业整顿

作者:乐购科技 来源: 2016-07-20 11:07:19 阅读 我要评论 直达商品

   “袁炜事件”可能成为中国“白帽子”黑客江湖的转折点。

  7月20日凌晨,中国最大漏洞报告平台乌云网(WooYun)突然无法访问。网站公告称,乌云及相关服务将升级,并称将在最短时间内回归。

  

两大漏洞报告平台突然关闭:乌云和漏洞盒子宣布停业整顿

 

  漏洞报告平台乌云网暂时关闭升级。

  与此同时,澎湃新闻(www.thepaper.cn)发现,7月19日,企业级互联网测试平台漏洞盒子宣布,暂停接受互联网漏洞与威胁情报。“白帽子”黑客报告漏洞的页面已经无法查看。(编注:在IT界,“白帽子”指的是正面黑客,他们发现系统安全漏洞,不会恶意去利用,而是公布漏洞,让系统所有方提前修补漏洞。)

  乌云网和漏洞盒子均是国家信息安全漏洞共享平台的合作方(一共3个)。后者是由国家计算机网络应急技术处理协调中心,联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。

  对于这次漏洞报告平台的关闭原因,可以从漏洞盒子管理团队的公告中看出端倪。公告称:“近期,漏洞盒子管理团队将对互联网漏洞与威胁情报项目中的流程制度、规范等进行梳理。在改进的过程中,暂停该项目相关漏洞与威胁情报接受,新的流程将于近期上线。相信能够帮助‘白帽子’与企业之间建立真正信任的关系。”

  乌云和漏洞盒子的整治行动,可能与国内“白帽子”黑客圈子里关注度最高的“袁炜事件”有关联。

  

两大漏洞报告平台突然关闭:乌云和漏洞盒子宣布停业整顿

 

  被逮捕的“白帽子”黑客袁炜父亲的公开信《白帽子检测漏洞到底是不是犯罪?》内文。

  据京华时报报道,袁炜是乌云上的一名白帽子。2015年12月,他在乌云提交了其发现的婚恋交友网站世纪佳缘的系统漏洞。在世纪佳缘确认、修复了漏洞并按乌云平台惯例向漏洞提交者致谢后,事情突然发生转折。世纪佳缘在一个多月后以“网站数据被非法窃取”为由报警,4月份,袁炜被司法机关逮捕。在不久前的第四届网络安全大会上,袁炜的父亲发出公开信为儿子鸣冤,让袁炜的遭遇成为网络安全圈的热门事件。

  世纪佳缘CEO吴琳光对此事也高度关注,并亲自回应称:“在警方披露调查结果前,世纪佳缘并不了解网站攻击者与漏洞提交者有何种关联。世纪佳缘报警是出于对用户隐私和公民信息安全的考虑,并不针对任何个人或组织。”

  “袁炜事件”引发了IT业内关于“白帽子”黑客行为边界的大讨论。

  国内黑客界教父级人物、腾讯玄武实验室总监于旸在微博写道:“可能很多人不知道:按《刑法》285 条第2款及相关司法解释,入侵获取金融证券系统身份认证信息10条以上、一般系统500条以上,就可以判刑。”

  “正邪的分界线也绝没有那么清晰:'白帽子'在未授权情况下对某网站或服务器的渗透测试,和真正准备盗取数据的黑客所做的准备工作是一模一样的。区别只在发现漏洞后的处置上,是报告给管理者,还是盗走数据卖掉。”软件从业人员“苏莉安”认为。

  相关人士认为,如果乌云无法为“白帽子”提供相应的保护、辅导、支持、规范、自律等措施,“白帽子”黑客被捕之后也没有提供法律支援等措施,那么乌云只是保留作为漏洞报告平台的工具属性,但其社群属性就被淡化了。

  “如果最终判定构成犯罪,将对整个‘白帽子’群体造成极大的震慑,没有‘白帽子’还敢去给网站寻找、发现漏洞,这对于企业的商业利益以及用户的信息安全都是非常不利的。”长期研究IT行业的律师赵占领说。

  国家信息安全漏洞共享平台的另一合作方——补天漏洞响应平台尚未受到影响。截至7月20日凌晨2时,澎湃新闻还能在网上看到“白帽子”黑客发现并报告的漏洞。记者注意到,该平台为奇虎360公司旗下,并写有《白帽子行为规范》,“对于在补天漏洞响应平台发布的漏洞,白帽子需要保证研究漏洞的方法、方式、工具及手段的合法性,补天漏洞响应平台对此不承担任何法律责任。”

  乌云是中国最早的漏洞报告平台,成立于2010年5月,主要创始人之一为百度前安全专家方小顿——这位1987年出生的国内知名黑客“剑心”,因在2010年2月和百度创始人兼董事长李彦宏一道参加湖南卫视《天天向上》节目,因为女友高歌一首而为人所知。

  乌云网聚集了一群爱好安全技术的“宅男”,他们也被称作“白帽子”黑客,为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的修复。他们在乌云上分享漏洞,只有得到核实并已经采取防范措施解决问题后才会被公开漏洞详情。

  如家酒店等开房信息泄露、13万条铁路售票网站网站12306用户数据泄露、腾讯7000万QQ群用户数据泄露等一系列曾经轰动社会的泄漏事件,均最早在乌云网上由白帽子报告并引起平台方的重视。

  对于“白帽子”找到的网络安全漏洞,中国厂商的回应并不算热情。顶尖“白帽子”黑客团队KEEN负责人王琦曾告诉澎湃新闻,中国厂商有时候会给予酬金,但大多数时候仅仅表示感谢。

  小编赛选出来的一些网友点评

  《到处转转1》

  这种做法召来的问题就是:你既然诬陷我,那我就索性一不做二不休……

  《Bryan13650172》

  本来就几个人知道的事 你弄得全世界都知道了 商家还得感谢你?拜托有点脑子好吧!没经过允许去探测漏洞和小偷踩点有什么区别?

  《手机用户5857708171》

  我敢说佳缘这是在断自己的后路,以后佳缘如果还被发现有漏洞存在,谁还敢报告?相信一点,在互联网上根本没有攻不破的网站,只是在不停的攻防转换,人家没有用你的漏洞去牟利,你还去告人家,等你以后信息泄漏的时候,就等着哭吧!因为没人愿意用自己的好心和时间去换取一场牢狱之灾!


  推荐阅读

  国融信网贷系统侵权迪蒙科技一案在深圳中院开庭

  月12日,国融信网贷系统侵害迪蒙知识产权案在深圳市中级人民法院开庭审理。迪蒙当庭展示了国融信侵犯迪蒙知识产权的系列证据。铁证面前,国融信网贷系统对侵犯迪蒙知识>>>详细阅读


本文标题:两大漏洞报告平台突然关闭:乌云和漏洞盒子宣布停业整顿

地址:http://www.lgo100.com/a/daohang/300390.html

乐购科技部分新闻及文章转载自互联网,供读者交流和学习,若有涉及作者版权等问题请及时与我们联系,以便更正、删除或按规定办理。感谢所有提供资讯的网站,欢迎各类媒体与乐购科技进行文章共享合作。

网友点评
我的评论: 人参与评论
验证码: 匿名回答
网友评论(点击查看更多条评论)
友情提示: 登录后发表评论,可以直接从评论中的用户名进入您的个人空间,让更多网友认识您。
自媒体专栏

评论

热度