【IT商业新闻网讯】(记者 艾米)2011年12月29日,漏洞报告平台乌云网宣布要对系统做短暂升级,暂时关站。乌云网因近期不断披露的网站漏洞消息引发各方关注,在先后曝出CSDN、天涯、当当、京东商城等存在安全漏洞后,29日乌云再次指出支付宝1500万至2500万用户资料被泄露,以及广东省公安厅出入境政务网444万用户信息泄露。
对于乌云网曝出的信息泄露事件,CSDN、天涯确认了其用户数据库失窃,当当则承认有黑客攻击了漏洞,广东省公安厅也于12月29日晚通过微博证实了漏洞存在。
乌云网因系统升级暂时关闭
乌云网大范围公布漏洞报告引争议
据了解,乌云网是国内厂商和安全研究者之间的安全问题反馈平台,用户可以在线提交发现的网站安全漏洞,企业用户也可通过该平台获知自己网站的漏洞报告。但是有人认为,乌云网没有必要大范围公开,造成如此大的影响,闹得人心惶惶。
金山首席安全专家李铁军认为,乌云网漏洞报告虽然闹得互联网界草木皆兵,但对互联网安全仍有积极意义。”能让程序开发商更加重视漏洞问题,同时也给广大网民上了一堂安全课。"
北京市盛峰律师事务所主任律师于国富在接受IT商业新闻网记者采访时表示,漏洞报告是可以大范围公布的,但是不能过于细化,要有分寸,不能传授犯罪的方法。
针对人们争论的问题,IT商业新闻网记者在网上采访了"乌云-漏洞报告平台"相关负责人,由于身份的特殊性,我们暂且用"乌云"代称。"乌云"认为,披露是应该的,不能保持在小范围公布,因为这是对其他用户和厂商的一种欺骗,乌云坚持要做自由平等的漏洞报告平台 。
"漏洞"报告并不一定是"事故"报告
在接受IT商业新闻网记者采访时,"乌云"表示,作为平台,发现漏洞后,会自动将信息同步给相关的厂商,并且会在平台跟踪漏洞的处理状态。乌云平台主要针对安全漏洞以及安全事件和安全信息这两种情况发布报告。这两种情况不同,"漏洞"报告并不一定是"事故"报告,不能扩张解读甚至曲解误导。
对于安全漏洞,是在厂商修复之后才公布细节的,如果问题足够严重,可能在厂商修复之前会给公众发布一些警告用以避免造成安全损失。
"乌云"强调,"这里一定要意识到一个问题,我们这里的白帽子发现问题之后会提交到平台,但是很可能安全问题几年前就发生,已经被人利用而厂商还不知晓呢。作为厂商,一定希望是信息不公开的,他们认为数据库被偸了没关系,关键是不要被他的用户知道。我认为这本身就是一种欺骗。"
另外一种是针对安全事件和安全信息发布公告,"乌云"告诉IT商业新闻网记者,"安全事件是已经发生的了,通过我们平台会给厂商足够的提醒,我认为公众也应该知晓安全事件"。
沟通渠道和反馈及响应机制存在问题
乌云网公布漏洞的出发点是为用户和厂商,但是万一有人冒充"白帽子",在平台上发布虚假的漏洞信息,那危害将不可估量。
"乌云"告诉IT商业新闻网记者,目前不会有这种现象的,白帽子到我们平台的目的是为了获取尊重,对于没有认证的白帽子我们会有额外的信息审核,即使是虚假信息,如果缺乏足够的证据,厂商是可以在我们平台对问题进行澄清的,我们是有机制的。
而12月29日,乌云网发布的公告称,乌云平台和社区无论是沟通渠道还是反馈及响应机制都存在一些严重的问题。如此看来,乌云平台的整改和修正是很有必要的。
乌云平台机制的完善将面临一定的挑战,并且在国外也没有先例,"乌云"对IT商业新闻网记者说,国外目前没有这种针对互联网公司的平台,只有针对一些传统的产品如浏览器、操作系统等漏洞报告的平台,而且都是商业化的公司。但是一些个人研究者都会在自己的blog和一些社区来披露安全问题,或者一些互联网公司主动对外来提供平台获取安全信息。
关于乌云平台什么时候才能升级结束,"乌云"表示还需要一段时间。
推荐阅读
活动现场发布了《战地风云OL》主题电影《无名英雄》,同时中国电竞精神领袖Sky和国内最伟大射击游戏指挥官Alex两位电竞明星带队的媒体队与国内知名竞技职业战队WE分组进行10V10的精彩对战。 【IT商业新闻网讯】(记者>>>详细阅读
地址:http://www.lgo100.com/a/guandian/yejie/20111230/170030.html
网友点评
精彩导读
科技快报
品牌展示