中國(guó)網(wǎng)財(cái)經(jīng)12月23日訊(記者 甄鼎丞) 相繼曝出如家等酒店客戶(hù)開(kāi)房信息泄露、攜程用戶(hù)銀行卡信息泄露、支付寶賬號(hào)可任意登陸等高危漏洞后，烏云網(wǎng)聲名大噪。

　　同時(shí)，烏云網(wǎng)也遭受了很多誤解與攻擊。據(jù)介紹，烏云網(wǎng)多次受到企業(yè)威脅，甚至曾有被某知名公司派人潛入機(jī)房拔掉網(wǎng)線(xiàn)這樣“可笑可氣”的經(jīng)歷。而有媒體更是將“中國(guó)最大的黑客培訓(xùn)基地”冠以烏云網(wǎng)。

　　面對(duì)各方壓力，雖然曾一度面臨“關(guān)站”危險(xiǎn)，但烏云網(wǎng)依然堅(jiān)持“第三方非盈利性組織”身份，堅(jiān)持“不刪漏洞”、不接受投資。

　　盛名之下，其路也難。近日，中國(guó)網(wǎng)財(cái)經(jīng)記者專(zhuān)訪到烏云網(wǎng)的多位創(chuàng)始人。

　　烏云：網(wǎng)絡(luò)安全的烏托邦

　　2013年10月，公布因第三方系統(tǒng)漏洞導(dǎo)致如家、漢庭等酒店的客戶(hù)開(kāi)房記錄泄露。

　　2013年11月，公布騰訊7000多萬(wàn)個(gè)QQ群數(shù)據(jù)庫(kù)漏洞，泄露用戶(hù)備注姓名、年齡、社交關(guān)系網(wǎng)等大量個(gè)人隱私。

　　2014年2月，公布淘寶和支付寶認(rèn)證存在安全缺陷，黑客可以簡(jiǎn)單利用該漏洞登陸他人淘寶和支付寶賬號(hào)進(jìn)行操作。

　　2014年3月，公布攜程網(wǎng)漏洞導(dǎo)致大量用戶(hù)銀行卡信息泄露，其中包含持卡人姓名身份證、銀行卡號(hào)、卡CVV碼、6位卡Bin等敏感信息。

　　烏云網(wǎng)頻繁曝出震驚行業(yè)的重大漏洞，幾乎戰(zhàn)戰(zhàn)告捷。而同時(shí)，也將一個(gè)默默無(wú)聞的群體——白帽子推向公眾視野。

　　白帽子，可以理解為正義的“黑客”。雖然兩者都擅長(zhǎng)網(wǎng)絡(luò)技術(shù)、樂(lè)于尋找漏洞，但白帽子的做法是將漏洞公開(kāi)、提交企業(yè)，而非黑客般竊取數(shù)據(jù)。

　　業(yè)內(nèi)常把網(wǎng)絡(luò)技術(shù)的攻與防比作是一場(chǎng)戰(zhàn)役，但在各位創(chuàng)始人眼中，烏云網(wǎng)更有白帽子們的理想烏托邦的意味。

　　據(jù)介紹，2010年成立時(shí)，曾相識(shí)于知名安全論壇80Sec的創(chuàng)始人“劍心”方小頓和“瘋狗”孟卓，已在網(wǎng)絡(luò)安全圈內(nèi)已有一定名氣。彼時(shí)，方小頓在百度安全部門(mén)工作，孟卓則供職于新浪。當(dāng)時(shí)他們還是用兼職時(shí)間的來(lái)運(yùn)營(yíng)烏云網(wǎng)，而初衷就是能通過(guò)烏云網(wǎng)促進(jìn)網(wǎng)絡(luò)安全信息的共享，改善白帽子向企業(yè)提交漏洞時(shí)遇到的不公正待遇。

　　2012年，烏云網(wǎng)獲得國(guó)家互聯(lián)網(wǎng)應(yīng)急中心贊助，以更“接地氣”民間組織的身份，承擔(dān)部分“國(guó)家信息安全漏洞庫(kù)”的工作。就此，“烏云網(wǎng)成為有國(guó)家相關(guān)部門(mén)支持的民間的第三方非盈利性組織?！焙匣锶肃w迪給出定義。

　　5年過(guò)去，烏云網(wǎng)已匯集白帽子6700余人，活躍白帽子1152人，日均上報(bào)漏洞百余個(gè)。而烏云網(wǎng)的月訪問(wèn)量也達(dá)到170萬(wàn)到200萬(wàn)，日均訪問(wèn)IP接近20萬(wàn)。

　　澄清誤解：漏洞公開(kāi)的福與禍

　　出于中立性考慮，烏云網(wǎng)采取嚴(yán)格的漏洞公開(kāi)機(jī)制。

　　白帽子發(fā)現(xiàn)漏洞后，由烏云網(wǎng)進(jìn)行初審，檢查描述、截圖等信息證明真實(shí)性。信息完善后漏洞立即報(bào)告給企業(yè)，由企業(yè)進(jìn)行確認(rèn)。

　　為保護(hù)企業(yè)信息安全，漏洞將經(jīng)過(guò)至少45天對(duì)外保密的流程。修復(fù)較快的云端漏洞保密期限為45天，而瀏覽器、QQ等客戶(hù)端軟件保密期限為90天。保密期間，公眾只能看到漏洞標(biāo)題和簡(jiǎn)要描述，期滿(mǎn)后才對(duì)外公開(kāi)。

　　正是由于中立而嚴(yán)格的公開(kāi)機(jī)制，和任何情況下堅(jiān)持不刪除漏洞信息的做法，烏云網(wǎng)博得了眾多白帽子的信任。同時(shí)，更多的白帽子愿意在烏云上公布行業(yè)漏洞。

　　但作為民間的信息安全平臺(tái)，公開(kāi)機(jī)制也為烏云帶來(lái)了不小的誤解和麻煩。

　　烏云曾多次遭到企業(yè)的威脅甚至報(bào)復(fù)。據(jù)介紹，某運(yùn)營(yíng)商導(dǎo)要求刪除漏洞信息未果后，直接斷掉了烏云的辦公網(wǎng)絡(luò)。另一次，“國(guó)內(nèi)某著名互聯(lián)網(wǎng)公司派人偷偷潛入烏云網(wǎng)機(jī)房，拔掉服務(wù)器網(wǎng)線(xiàn)?！眲?chuàng)始人孟卓又氣又笑地講述。

　　在孟卓看來(lái)，相比于烏云網(wǎng)，企業(yè)自身更應(yīng)該公開(kāi)安全問(wèn)題。但大部分中國(guó)企業(yè)在遇到問(wèn)題時(shí)，首先想到不是妥善處理，而是先掩蓋，盡力不讓外界知道。

　　“中國(guó)和國(guó)外信息安全上的差距，其實(shí)不是技術(shù)上的差距，很大一部分是理念和態(tài)度的差距。中國(guó)人責(zé)任二字觀念很強(qiáng)，出了事故先拋開(kāi)責(zé)任?！泵献咳缡钦f(shuō)。

　　與企業(yè)的報(bào)復(fù)行為相比，來(lái)自媒體和公眾的誤解，更讓各位創(chuàng)始人“心寒”。

　　有媒體稱(chēng)“白帽子也是黑客”，將“中國(guó)最大的黑客培訓(xùn)基地”的帽子冠以烏云網(wǎng)，甚至直言“大多數(shù)鬧心消息的發(fā)布源頭就是烏云網(wǎng)”。

　　面對(duì)種種誤解，孟卓則表現(xiàn)出更多的是無(wú)奈，“白帽子與黑客截然不同。黑客是黑色產(chǎn)業(yè)鏈的一員，目的是盜取數(shù)據(jù)。由于賺錢(qián)速度快，黑客的價(jià)值觀大多已經(jīng)扭曲，斷然不會(huì)主動(dòng)上報(bào)漏洞，自斷財(cái)路?！?/p>

　　“但如果沒(méi)有烏云公布漏洞，用戶(hù)永遠(yuǎn)不知道個(gè)人信息已經(jīng)被泄露?！泵献恐毖浴?/p>

　　威懾黑產(chǎn) 促信息共享

　　如今，互聯(lián)網(wǎng)已深入到生活的每個(gè)角落，同時(shí)互聯(lián)網(wǎng)也進(jìn)入“云”時(shí)代，越來(lái)越多用戶(hù)信息都存儲(chǔ)在云服務(wù)器端。而云技術(shù)在提升了用戶(hù)體驗(yàn)、減低成本的同時(shí)，也顯現(xiàn)了其風(fēng)險(xiǎn)?！斑^(guò)去一個(gè)問(wèn)題只影響一兩個(gè)用戶(hù)，云技術(shù)之后可能影響上千萬(wàn)的人?！眲?chuàng)始人方小頓表示。

　　云技術(shù)漏洞導(dǎo)致的信息泄露，最大的收益者就是地下黑色產(chǎn)業(yè)(下文簡(jiǎn)稱(chēng)：黑產(chǎn))。

　　而“由于利益巨大，黑產(chǎn)已經(jīng)猖狂到失控的地步?！泵献勘硎?。

　　烏云網(wǎng)正在聯(lián)合所有白帽子，與龐大的黑產(chǎn)進(jìn)行竭力斗爭(zhēng)。就在采訪時(shí)，烏云網(wǎng)剛剛發(fā)布兩個(gè)“令人震驚”的預(yù)警，130萬(wàn)研究生考試報(bào)名信息泄露和部分省市已亡人信息泄露，黑產(chǎn)的騙子正在利用這些信息瘋狂的進(jìn)行詐騙。烏云網(wǎng)也提醒可能涉及的用戶(hù)，提高警惕，以防被騙。

　　在孟卓看來(lái)，烏云網(wǎng)就是對(duì)黑色產(chǎn)業(yè)最大的威懾?！斑^(guò)去黑產(chǎn)隱蔽于地下，行動(dòng)非常自由?，F(xiàn)在烏云網(wǎng)會(huì)在盯著他們，隨時(shí)就把他們和同伙給曝出來(lái)?！?/p>

　　烏云網(wǎng)另一個(gè)重要意義，就是給白帽子正確的引導(dǎo)。過(guò)去，安全技術(shù)只有兩條路，進(jìn)入國(guó)家安全機(jī)構(gòu)或進(jìn)入黑色產(chǎn)業(yè)。而今，烏云網(wǎng)提供了另一個(gè)平臺(tái)，既能合法的施展能力，還能獲得大家的認(rèn)同。另外，烏云網(wǎng)在向企業(yè)上報(bào)漏洞的同時(shí)，也可以幫助白帽子找到較好安全類(lèi)工作，光明正大的做安全研究。

　　而對(duì)于行業(yè)，合伙人鄔迪總結(jié)稱(chēng)“現(xiàn)今互聯(lián)網(wǎng)公司產(chǎn)品迭代過(guò)于快速，而忽視安全問(wèn)題。烏云網(wǎng)希望能夠一改各自為戰(zhàn)的狀況，將漏洞公開(kāi)、共享企業(yè)間安全信息，促進(jìn)整個(gè)行業(yè)的發(fā)展。也希望企業(yè)能轉(zhuǎn)變對(duì)于安全的態(tài)度，積極解決問(wèn)題而不是逃避責(zé)任?！?