乌云背后的“月之眼”：携程泄密事件的有推手吗？-国土报中文版

本篇文章3154字，读完约8分钟

2013年10月10日，如家快捷酒店等酒店开业的信息泄露；11月20日，腾讯的7000万qq群用户数据被指控泄露；11月26日，360显示了任何用户更改密码的漏洞；2014年2月17日，支付宝/余额宝被任意登陆，该网友账户存在风险；2014年2月26日，微信敏感信息泄露漏洞，造成大量用户视频泄露，影响堪比xx...

一系列的泄密事件让原本不为人知的网站Wuyun.com出名了。在质疑相关企业不负责任的表现的同时，人们也对五云网充满了疑问:这是一个什么样的平台，为什么大公司的漏洞会被串联曝光？乌云背后有多少秘密？

乌云背后的“月亮之眼”

伍云成立于2010年5月。它的主要创始人是方孝敦，百度前安全专家，1987年出生，中国知名黑客。2010年2月，他和李彦宏参加了湖南卫视的“天天”节目，因为他的女朋友唱了一首歌而出名。从那以后，方小东就成立了吴云。目标是成为一个“自由和平等”的漏洞报告平台。

在百度百科中，吴昀将自己描述为:供应商和安全研究人员之间的安全问题反馈平台，为互联网安全研究人员提供一个受益、学习、交流和学习的平台，同时提供关于安全问题的反馈和跟进。

虽然吴昀把自己塑造成一个公益的第三方组织，以获得白帽子和社会的信任。然而，经过核实，Wuyun.com不是一个公开的第三方组织，而是一个纯粹的私营公司，其收入来自其漏洞披露规则。

对于一般漏洞，Wuyun.com的规则如下:

1.白帽提交漏洞并通过审核后，Wuyun.com将发布漏洞摘要，包括漏洞标题、涉及的制造商、漏洞类型和简要描述；

2.制造商有5天的确认期(如果5天内没有确认，将被忽略，但不会公开)。直接转到3)；

3.确认后，它将对安全合作伙伴开放；

4.10天后对核心和相关领域的专家开放；

5到20天后对普通白帽子开放；

6或40天后打开实习白帽；

7或90天后向公众开放。

据了解，当一些安全服务公司向Wuyun.com支付一定费用时，他们可以提前看到其服务客户的所有漏洞。未经客户允许向服务公司披露漏洞信息是否合法？值得一提的是，漏洞标题由吴云发布。网站完全由白帽提交，没有任何审查和修改。诸如“可能导致数以千计的服务器崩溃”和“有泄露近一千万用户数据的风险”等夸张的标题比比皆是。任何通过媒体传播的随机漏洞都会引起公众恐慌。

乌云背后的“月之眼”：携程泄密事件的有推手吗？

笔者从一位从事安防行业多年的朋友那里了解到一些关于吴云的故事:

1.从一开始，乌云存在的意义就在于唤起甲方对安全的各种关注，这是毋庸置疑的；

2.在发展过程中，乌云有所不同，这可能源于内部人的价值取向不一致；或者有一幅画的名字，或者有一个利润，或者有一幅名利；

3.这种差异使得其漏洞的披露成为一种变相的持有手段(筹码)，甚至成为相互pk的斗兽场；

4.在2月至3月期间，相应的行业主管(监管)部门或多或少地默许(支持)了黑云的存在。

暴露弱点是一场狂欢

在公众的心目中，神秘和危险是黑客的同义词。然而，在黑客世界里，所有的黑客主要分为两类:白帽子和黑帽子。那些愿意向企业披露漏洞而不恶意利用漏洞的人是白帽子，而黑帽子靠窃取信息牟利为生。

“虽然乌云对漏洞的披露有保密期限，但事实上，我不需要看到任何漏洞的细节。任何有经验的黑客都可以通过查看漏洞的标题和简要描述，以有针对性的方式对其进行测试。因此，在大多数情况下，一旦发现漏洞，就不难在第一时间获得漏洞的详细信息。”黑客z提交了几十个“乌云”中的漏洞，他告诉作者:“事实上，你看到的就是我们玩的。”

乌云背后的“月之眼”：携程泄密事件的有推手吗？

携程漏洞的发现者“猪人”，是乌云中排名最高的白帽子，公布了125个漏洞。3月22日晚，猪人相继发布了携程的两个严重安全漏洞。在他之前的记录中，猪人发布了很多著名的企业漏洞，比如腾讯、阿里、网易、优酷和联想，他是一个真正的黑客。至于“猪人”是谁，Z不想多说，只是向作者透露“猪人”其实是吴云的一个内幕。

乌云背后的“月之眼”：携程泄密事件的有推手吗？

乌云:黑客的乌托邦

“因为未经授权的黑盒安全测试是非法的，所以在这个圈子里有一种流行的做法:黑客入侵网站窃取信息，最后，只要他们把漏洞提交给Wuyun.com的制造商，它们就可以被粉饰。”

z还向作者展示了一个Wuyun.com的非公开论坛，只有戴着认可的白帽子才能进入。在这个秘密论坛中，作者发现有一些特别的讨论区，讨论的话题包括黑色产业、网络收入和网络战争。在新浪科技2013年12月发布的《揭秘五云网》一文中，Wuyun.com被质疑为“中国最大的黑客培训基地”，如下图所示:

类似的话题在这个论坛上比比皆是，许多白帽子正在改变。在这个温室里，我们讨论利用漏洞的技术，如何利用这些漏洞来制造黑色产品，走在法律的灰色地带。

安全漏洞将成为互联网时代最强大的公关武器？

随着互联网的飞速发展，国内的地下黑色产业链也日益壮大，安全漏洞确实威胁到了每个人的实际利益。

2014年2月17日，支付宝/余额宝的随机登录漏洞爆发后，阿里公关进行了一次快速攻击，给了500万现金，以奖励对舆论的白帽子。从那以后，关于微信支付和支付宝的相互责任和安全性差的公关草案层出不穷。打着安全的旗号，互联网商业战争中的封锁与反封锁、黑色公关与反黑色事件越来越多，Wuyun.com起到了推波助澜的作用。

乌云背后的“月之眼”：携程泄密事件的有推手吗？

鉴于Wuyun.com不断披露的安全事件引发了前所未有的社会关注，一些专家最近开始质疑Wuyun.com漏洞披露规则是否合法:媒体根据吴云发布的漏洞标题和简要描述疯狂报道。那么，如果有人故意发布虚假的漏洞，必然会对企业造成很坏的影响。谁将承担这个责任？一家私人公司已经掌握了如此多的安全漏洞，并把漏洞披露作为其商业模式，它是不是正在步入法律的灰色地带？

乌云背后的“月之眼”：携程泄密事件的有推手吗？

互联网工作组在rfc2026草案“负责任的漏洞披露流程”中提到，“报告者应确保漏洞是真实的。”但是，在Wuyun.com发布漏洞之后，在企业确认之前，无法知道漏洞的真实性和准确性。安全漏洞的公开应该严格负责，任何发现漏洞的技术人员都应该明确漏洞的影响范围，以免引起不必要的公众恐慌。例如，尽管Wuyun.com出于自身需要渴望媒体曝光和炒作，但它也应该解释泄露的信息是否经过加密，影响范围有多大，而不是成为所谓的“产权方”，以安全的名义控股企业。

乌云背后的“月之眼”：携程泄密事件的有推手吗？