白帽子處境堪憂：烏云與漏洞盒子雙雙關閉

7月20日上午消息，國內知名漏洞報告平臺烏云今日出現(xiàn)無法訪問，其后烏云發(fā)公告稱，原因是官方正在進行升級。昨日，國內另一漏洞報告平臺漏洞盒子宣布，暫停接受互聯(lián)網(wǎng)漏洞與威脅情報。這意味著國內兩大知名漏洞報告平臺先后進入“暫?！睜顟B(tài)，但具體原因尚不明確。

新浪科技第一時間致電聯(lián)系了烏云社區(qū)負責人方小頓，但對方電話處于無人接聽狀態(tài)。

烏云是國內最知名的白帽子社區(qū)，所謂白帽子即正面黑客，這個群體會及時發(fā)現(xiàn)各互聯(lián)網(wǎng)平臺漏洞，并提交報告，在此之前會提醒對方修復。

烏云運營團隊在官網(wǎng)聲明中稱，烏云及相關服務將進行升級，將在最短的時間內回歸……不管是從前，現(xiàn)在，還是未來，我們都將堅持這么做下去。

烏云還在公告中強調：一直以來，烏云致力于讓安全性作為用戶選擇產(chǎn)品的重要考量之一，促進企業(yè)更重視安全，讓更多人重視安全關注安全，從而營造出更好的安全生態(tài)。

值得一提的是，烏云的公告與漏洞盒子的公告有相似之處，漏洞盒子在其公告中表示：近期，漏洞盒子管理團隊將對互聯(lián)網(wǎng)漏洞與威脅情報項目中的流程制度、規(guī)范等進行梳理。在改進的過程中，暫停該項目相關漏洞與威脅情報接受，新的流程將于近期上線。相信能夠幫助’白帽子’與企業(yè)之間建立真正信任的關系。

雖然未明確說明，但外界認為兩大漏洞報告平臺的“暫停”和對外公告，可能與“袁煒事件”有關。

袁煒是互聯(lián)網(wǎng)漏洞報告平臺“烏云”上的一名白帽子。去年12月份，他在烏云提交了其發(fā)現(xiàn)的婚戀交友網(wǎng)站世紀佳緣的系統(tǒng)漏洞。在世紀佳緣確認、修復了漏洞并按烏云平臺慣例向漏洞提交者致謝后，事情突然發(fā)生轉折。

世紀佳緣在一個多月后以“網(wǎng)站數(shù)據(jù)被非法竊取”為由報警，4月份，袁煒被司法機關逮捕。在不久前的第四屆網(wǎng)絡安全大會上，袁煒的父親發(fā)出公開信為兒子鳴冤，讓袁煒的遭遇成為網(wǎng)絡安全圈的熱門事件。

關于袁煒被抓，坊間傳出世紀佳緣“釣魚”的說法，有人質疑為何世紀佳緣在向烏云和漏洞提交者致謝后的一個多月又突然報警。對此，世紀佳緣方面給出了回應：“自烏云通知公司網(wǎng)站存在漏洞至今，世紀佳緣從未獲得過漏洞提交人的聯(lián)系方式并與之取得聯(lián)系。在警方披露調查結果前，世紀佳緣并不了解網(wǎng)站攻擊者與漏洞提交者有何種關聯(lián)。世紀佳緣報警是出于對用戶隱私和公民信息安全的考慮，并不針對任何個人或組織?！?/p>

按照袁煒父親在公開信中的描述，袁煒于去年12月3日下午發(fā)現(xiàn)世紀佳緣網(wǎng)站漏洞；當天晚上，他為了驗證漏洞，又通過發(fā)現(xiàn)的漏洞瀏覽了世紀佳緣的部分數(shù)據(jù)，確認漏洞存在；次日上午，袁煒向烏云提交該漏洞，同一天烏云通知世紀佳緣；12月7日，在完成漏洞修復后，世紀佳緣在烏云平臺確認漏洞的頁面向該漏洞提交者表示感謝。今年1月18日，世紀佳緣向北京市公安局朝陽分局報案稱數(shù)據(jù)被竊??；3月8日，袁煒被刑事拘留；4月12日，北京朝陽檢察院以涉嫌非法獲取計算機信息系統(tǒng)數(shù)據(jù)犯罪，批捕袁煒。

但世紀佳緣并不承認“釣魚”的說法，并對表示感謝后一個月突然報警的行為，世紀佳緣CEO吳琳光則在知乎上解釋稱：“在漏洞修復過程中，我們發(fā)現(xiàn)有900多條有效數(shù)據(jù)被攻擊者獲取，出于對用戶數(shù)據(jù)和信息安全的擔憂，我們選擇了報警?！彼瑫r表示，“在警方披露調查結果之前，我們并不知道提交漏洞的白帽子和攻擊者是同一個人?！?/p>

需要說明的是，“袁煒事件”后，白帽子平臺的規(guī)則和規(guī)范開始再度引起關注，而且此事極有可能成為國內白帽子們的轉擇點。

一方面是對涉及個人數(shù)據(jù)的關注，以及白帽子行為的規(guī)范。另一方面則是白帽子群體的處境，因為從法律上來說，目前白帽子的行為并不受法律保護，處于灰色地帶。

在袁煒被抓后，世紀佳緣一度成為了白帽子“公敵”，短短幾天時間，又有多個世紀佳緣的漏洞在烏云上被公布。被激怒的白帽子們在用自己的方式表達對世紀佳緣的不滿。

知名白帽子“豬豬俠”上周在烏云提交了一個關于世紀佳緣的漏洞，在說明中，他特意寫道“如果廠商不愿意接受來自互聯(lián)網(wǎng)的貿然測試，可在修復本漏洞后點擊忽略該漏洞，并在廠商回復處留下‘請不要測試本公司，本公司將采取法律手段約束你們的測試行為，后果自負?！笞邍H黑名單慣例，不會再有人關注貴公司信息系統(tǒng)的安全風險?！敝S刺意味十足。

目前進展來看，“袁煒事件”的走向、判罰等將成為白帽子群體和漏洞報告平臺“命運”的關鍵節(jié)點。

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。