解密乌云网：携程泄密有推手吗？

2014年3月23日晚6点，乌云漏洞平台（乌云网）曝出携程安全支付服务器接口存在调试功能，可将用户的支付记录保存下来，包括持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息。 由于涉及个人财务信息泄露，引发了社会各界的强烈关注，人民日报、央视网、新浪科技、财经网等媒体争相报道，众说纷纭

2014年3月23日晚6点，乌云漏洞平台（乌云网）曝出携程安全支付服务器接口存在调试功能，可将用户的支付记录保存下来，包括持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息。 由于涉及个人财务信息泄露，引发了社会各界的强烈关注，人民日报、央视网、新浪科技、财经网等媒体争相报道，众说纷纭。

携程日志中存储用户敏感信息无疑是错误和愚蠢的，在舆论将携程推向风头浪尖之时，笔者对乌云网产生了强烈的好奇。翻看乌云网的漏洞爆料历史记录，令人震惊：

2013年10月10日，如家等酒店开房信息泄露；

11月20日，腾讯7000万QQ群用户数据被指泄露；

11月26日，360出现任意用户修改密码漏洞；

2014年2月17日支付宝/余额宝任意登录漏洞，网民账号面临风险；

2014年2月26日，微信敏感信息泄露漏洞，造成海量用户视频泄露，影响堪比XX门……

一系列泄密事件让乌云网，让这个原本默默无闻的网站声名鹊起。人们在质疑相关企业不负责任表现的同时，也对乌云网充满疑问：这究竟是怎样的一个平台，为何能连环曝出各大公司的漏洞？乌云网背后，究竟有多少秘密？

乌云背后的“月之眼”

乌云网（WooYun）成立于2010年5月，主要创始人为百度前安全专家方小顿――这位1987年出生的国内知名黑客“剑心”，2010年2月和李彦宏一道参加湖南卫视《天天向上》节目，因为女友高歌一首而为人所知。此后，方小顿联合几位安全界人士成立了乌云网，其目标是成为“自由平等的”的漏洞报告平台。

在百度百科中，乌云是这样描述自己的：一个位于厂商和安全研究者之间的安全问题反馈平台，在对安全问题进行反馈处理跟进的同时，为互联网安全研究者提供一个公益、学习、交流和研究的平台。

尽管乌云将自己的形象打造为公益的第三方组织，以获取白帽子与社会的信任。但经过查证，乌云网并非一个公立第三方机构，而是纯粹的民营公司，其收入来源于其漏洞披露规则。

对于一般漏洞而言，乌云网规则如下：

1、 白帽子提交漏洞并通过审核后，乌云网会公布漏洞概要，内容包括漏洞标题、涉及厂商、漏洞类型与简要描述；

2、厂商有5天的确认周期（5天内未确认视为忽略，但不公开，直接进入3）；

3、确认3天后对安全合作伙伴公开；

4、10天后向核心及相关领域专家公开；

5、20天后向普通白帽子公开；

6、40天后向实习白帽子公开；

7、90天后向公众公开。

据了解，当某些安全服务公司向乌云网支付一定费用之后，就可以提前看到其服务客户的所有漏洞，在未经客户允许的情况下，将漏洞信息泄露给服务公司是否合法？值得一提的是，乌云网所公布的漏洞标题完全来源于白帽子提交，并没有任何审核与修改，“可导致千余服务器沦陷”“近千万的用户数据存在泄露风险”等夸张标题比比皆是，随意一个漏洞经媒体传播皆可以引起大众恐慌。

笔者向一位在安全行业从事多年的朋友了解到乌云一些故事：

1、从最初乌云的存在意义是为了引起各类甲方对安全的重视，这一点毋庸置疑；

2、在发展过程中乌云有了一定的分歧，这种分歧可能源自于内部人的价值取向不一致；或有图名、或有图利、或有图名利双收；

3、这种分歧使得其漏洞披露成了一种变相的挟持手段（筹码），甚至成为了互相PK的斗兽场；

4、从2到3的过程中，相应的行业主管（监管）部门或多或少默许（支持）了乌云的存在。

漏洞披露，更是一场狂欢

在普通公众心中，神秘和危险是黑客的代名词。但在黑客界，所有黑客主要被归为两种类型：白帽子与黑帽子，愿意向企业公布漏洞、不恶意利用漏洞的就是白帽子，而黑帽子则是以盗取信息牟利为生。

“虽说乌云对漏洞的披露有保密期，但事实上我并不需要看什么漏洞详情。任何有经验的黑客，只要看下漏洞标题和简述，就能针对性的去测试，因此在大多情况下漏洞一旦公布，第一时间拿到漏洞细节并非难事。”黑客圈人士、曾在乌云提交过数十个漏洞的Z告诉笔者，“其实你们看到的，都是我们玩剩下的。”

此次携程漏洞的发现者“猪猪侠”是乌云排名最高的白帽子，发布漏洞高达125个。3月22日晚，猪猪侠连续发布了两枚关于携程的严重安全漏洞，而在猪猪侠之前的战绩中，曾发布腾讯、阿里、AS网站目录、优酷、联想在内的多家知名企业漏洞，是一位名副其实的黑客高手。关于“猪猪侠”是何许人也，Z并不愿多说，只向笔者透露猪猪侠其实是乌云网内部人士。

乌云：黑客们的乌托邦

“因为未授权的黑盒安全测试是违法的，所以圈内流行这样一种做法：黑客们入侵网站盗取信息，最后只要在乌云网向厂商提交漏洞，就可以洗白。”

Z还向笔者展示了乌云网的一个非公开论坛，该论坛只有获得审核的白帽子才能进入。笔者在这个隐秘论坛中发现，黑色产业、网赚、网络战争等话题都有专门的讨论版块。在2013年12月新浪科技发布的《揭秘乌云网》一文中，乌云网被质疑为“中国最大的黑客培训基地”，如下图：

类似的话题在该论坛中比比皆是，众多白帽子摇身一变，在这个温室中讨论着漏洞利用技术，如何利用这些漏洞去做黑产，游走在法律的灰色地带。

安全漏洞会成为互联网时代最强大的公关武器？

伴随着互联网的飞速发展，国内地下黑色产业链也在日益庞大，安全漏洞真在威胁到每个人的实际利益。

2014年2月17日爆出支付宝/余额宝任意登录漏洞后，阿里公关迅速出击，拿出现金500万奖励白帽子盖过舆论。在此之后，关于微信支付与支付宝的互相职责安全性差的公关稿连绵不绝。以安全为名，背后实为互联网商业之战的封杀与反封杀、黑公关与反黑事件，正愈演愈烈，而乌云网在其中扮演了推波助澜的作用。

鉴于乌云网连续披露的安全事件引发了前所未有的社会关注，于是最近有专家开始质疑乌云网的漏洞披露规则是否合法：媒体根据乌云所公布的漏洞标题和简述疯狂报道。那么如果有人蓄意发布虚假漏洞，势必企业造成非常恶劣的影响，这个责任谁来承担？一家民营公司，掌握如此多的安全漏洞，并以漏洞披露作为商业模式，其本身又是否踩在法律的灰色地带？

互联网工作组在RFC2026《负责任的漏洞披露过程》草案中提到，“报告者应确保漏洞是真实的。”但当漏洞在乌云网发布之后、企业确认之前，漏洞的真实性与准确性无从知晓。负责任的安全漏洞披露应该是严谨的，任何发现漏洞的技术工作者，应说清楚漏洞的影响范围，以免引起不必要的大众恐慌，比如这次携程信用卡门，即便乌云网因自身需求，急待媒体曝光和炒作，但也理应说明泄露的信息是否经加密，影响的范围是怎样，而不是成为所谓的“标题党”，以安全为名挟持企业。

安全漏洞的公开是必要的，这不仅是对用户的负责，更是对企业安全的监督，但如何真正做到负责任的漏洞披露，是否需要一个更合理的漏洞处理机制，这些问题值得我们深思。

文章为作者独立观点，不代表虎嗅网立场