乌云网

互联网漏洞报告平台

乌云网[3]WooYun[4])是一个位于中国大陆资安情报网站[5],于2010年5月由方小顿孟德联合创立[6]。该网站是一个介于企业安全研究者之间的安全漏洞报告平台[7]。2016年7月20日凌晨,乌云网突然被关闭,仅显示一张“乌云及相关服务升级公告”的图片。截至2020年8月25日,该网站依旧展示升级公告,无法访问。

乌云网
网站类型
资安情报网站
总部 中华人民共和国
创始人方小顿
孟德[1]
网址www.wooyun.org
推出时间2010年5月6日[2]
现状关闭

乌云网将自身标榜为“自由平等的漏洞报告平台”[8],《杭州日报》称其为盖在中国众多企业头上名副其实的一朵“乌云[9],《澎湃新闻》称其为“中国最大的漏洞报告平台”[10],《香港自由新闻》称其为“中国最大的道德黑客社区[11]公共政策智库美国外交关系协会称其为“中国最大的计算机漏洞报告平台”[12],《国际财经时报》英国版称其为“中国最大的白帽黑客社区之一”[13]

中国大陆媒体电脑报》报道,乌云网的成名战发生在2011年年底。当年11月,该网站根据白帽子提供的材料,接连披露网易支付宝京东商城等中国互联网巨头存在高危漏洞,12月29日更是指出支付宝1500万至2500万用户资料被泄露。12月30日,乌云网发布声明宣布暂时关站,对系统做短暂的升级,公告称,“最近频繁披露的安全事件及带来的影响表明,一方面我们企业的整体安全建设还不够完善,但是同样反馈出我们乌云平台和社区无论是沟通渠道还是反馈及响应机制都存在一些严重的问题”[14]。此后,该网站又相继披露出酒店开房信息泄露、支付宝漏洞、搜狗浏览器泄露用户数据、腾讯7000万QQ群用户数据泄露等[15]

法律事件

编辑

贾伟事件

编辑

2011年4月,乌云网白帽子贾伟在京东商城购物时,无意间发现了京东存在技术漏洞,该漏洞可以获取京东所有客户账号密码及个人信息。随即,他将这一情况反馈给京东技术人员,这位技术人员主动联系贾伟,表示将在第一时间内修复漏洞。贾伟连续跟踪观察了8个月后,发现这一漏洞并没有被修复。于是,他便把漏洞发布到乌云平台,京东也验证了自己存在的漏洞,并以官方身份进行了漏洞确认。但京东的技术人员依然无法确认具体的漏洞所在,贾伟表示只要聘请他为高级技术顾问,并支付约240万元劳务费,就可以为京东商城修复这一漏洞。不料,京东商城以网络被入侵并被“敲诈勒索”为由,向北京朝阳区公安局报警,12月30日,贾伟被警方带走,一个多月后,他被保释出狱[16]

袁炜事件

编辑

2015年12月,乌云网白帽子袁炜发现世纪佳缘的系统存在漏洞,并在乌云网上提交了这一漏洞。世纪佳缘确认并修复了漏洞,并向乌云网和袁炜致谢[17]。但事后,世纪佳缘统计发现,有900多条数据被攻击者获取。出于对信息安全的担忧,世纪佳缘选择报警。警方调查后发现只有袁炜一个人涉嫌此案。最后,袁炜被检察院公诉,2016年4月被批准逮捕。这一事件被外界称为“袁炜事件”。这一事件震动了中国信息安全界,随之而来的是各界对白帽子行为边界的激烈讨论[18]。一些网络安全业内人士和法律人士称,袁炜事件或将成为中国互联网安全史上一个标志性的“分水岭”[19]

关站“升级”

编辑

2016年7月20日凌晨,乌云官网突然被关闭,仅显示一张“乌云及相关服务升级公告”的图片,并附言 “与其听信谣言,不如相信乌云”[20]。据外界推测可能是内部整顿[21][22]。《财新网》援引消息人士称,包括创始人方小顿在内的乌云网数名团队成员7月19日被警方带走[11]。但前乌云合伙人杨蔚辟谣称是谣言,并表示“谣言止于智者”[23]。7月19日晚,新浪微博大V互联网那些事”爆料称乌云网被连锅端,高层全部被警方拷走[24]。截至2020年8月18日,该网站依旧展示升级公告,无法访问。

漏洞披露

编辑

网易邮箱

编辑
  • 2010年7月14日,乌云网披露网易邮箱存在CSRF漏洞,并将这一危害等级定义为“高”,成功攻击可能导致用户数据被窃取[25]
  • 2011年12月27日,乌云网称网易163邮箱在找回密码页面莫名绑定陌生的QQ号码,怀疑163邮箱账号被大面积种植后门网易公司对此表示网易邮箱被种植后门的说法属于谣言,网易当前的系统程序一切正常,后台不存在漏洞,且账号信息也没有被泄露。网易还对发布谣言的行为表示遗憾谴责[26]

酷6网

编辑

2011年2月13日,乌云网披露,酷6网某活动用户审核页面存在未授权访问漏洞,并将这一危害等级定义为“高”[27]

当当网

编辑

2011年11月,乌云网指出当当网由于设计缺陷可导致用户资料泄露[28]

京东商城

编辑

2011年12月27日,乌云网称,京东商城在某些业务上存在用户权限控制不当的漏洞,导致用任意用户登录系统后,都可正常访问到所有用户的敏感信息[29]。28日,京东发布声明进行回应称经过核查京东并未查到相应漏洞,用户的信息密码也都为加密储存,并未遭到泄露。乌云网则称京东已对该漏洞有所察觉,但京东商城却予以否认。京东正式否认卷入“泄密门[29]

广东省公安厅出入境政务服务网

编辑

2011年12月,乌云网披露,广东省公安厅出入境政务服务网后台存在漏洞[30],440万的用户资料外泄。据香港东方日报》报道,广东省公安厅于29日承认漏洞事件属实,但宣称已修补有关漏洞[31]

支付宝

编辑

2011年12月29日,乌云网指出支付宝1500万至2500万用户资料泄露遭到泄露[32],而这些数据被用于网络营销。支付宝对此回应,只有账号外泄,对用户资金安全没有威胁[33]。支付宝同时表示,其采取金融级的信息安全标准,任何人都不能从支付宝获得用户密码等私密信息[34]

中国民生银行

编辑

2013年10月,乌云网披露中国民生银行存在漏洞,该漏洞可导致民生银行Android客户端敏感信息泄露,该网站详细描述称,“账户权限控制没做好,漏了几个地方。导致可查询任意账号的余额及进出帐情况”[35]

中国铁路客户服务中心

编辑

2011年1月19日,乌云网第一次披露中国铁路客户服务中心(俗称12306网站)存在技术漏洞,披露者是该网站白帽子“路人甲”,他表示,“火车票难买啊,于是打算看下铁道部的安全”,结果发现给12306提供域名注册、空间服务的第三方公司由于DNS服务器出现问题,导致12306网站的DNS记录被泄露。自2011年以来,乌云共披露了12306网站40多条漏洞。2013年12月6日,新版12306网站上线仅几个小时后,乌云网便发现了漏洞,称漏洞可能导致用户信息泄露。中国铁路总公司立即作出回应表示漏洞已在第一时间修复。不过,时隔20多天后,乌云网再次指出,12306网站某接口CDN问题存在漏洞,会导致用户敏感信息泄漏。次日,12306回复确认该漏洞存在,并表示在第一时间修补了漏洞。[9]

携程

编辑

2014年3月22日,乌云网披露携程系统存技术漏洞,编号为54302,发布者是乌云网的核心白帽子黑客“猪猪侠”[36]。该漏洞导致携程网安全支付日志可遍历下载,致使大量用户银行卡信息泄露。此外,携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息)。对此,携程立即展开技术排查,并在两小时内修复该漏洞。漏洞曝光后,原谷歌公司技术总监胡宁新浪微博上表示,携程此次事件并不是低级技术错误,并建议让携程应立即提醒用户更换信用卡[37]。携程网漏洞被披露后,立即掀热议,成为头条新闻。很多人表示,两个小时足够“黑帽子”从中获取用户的信息。3月24日那一天,携程的股价应声大跌[9]

搜狗浏览器

编辑

2013年11月5日,乌云网指出搜狗浏览器存在漏洞,中国中央电视台24小时》、《新闻直播间》、《热点扫描》、《交易时间》等栏目详细报道了记者验证该漏洞信息的整个过程[38]

腾讯

编辑
  • 2013年11月18日,乌云网披露腾讯QQ存在漏洞,并将这一危害等级定义为“高”,该漏洞可导致QQ号泄露用户个人关系网和经历[39]
  • 2015年3月5日,乌云网披露腾讯公司旗下的微信红包存在高危漏洞黑客可以设计程序自动领取他人发放的红包。不过,腾讯方面回应称,这一问题早在两个月前已发现,并在第一时间完成了修复[40]

智联招聘

编辑

2014年12月2日,乌云网白帽子“天地不仁以万物为刍狗”提交了一个关于“导致智联招聘86万用户简历信息泄露”的漏洞。对此,智联招聘予以否认[41]。次日,乌云网又提交了一个关于“智联招聘信息泄露进入内部邮箱”的漏洞,类型为“重要敏感信息泄露”[42]

UC浏览器

编辑

2014年6月28日,乌云网公开披露UC浏览器存在高危漏洞[43],该浏览器的“神马搜索”可导致大量敏感信息泄露,涉及人人网QQ空间以及新浪微博[44]

百度

编辑

2015年10月,乌云网披露包括百度地图百度浏览器百度音乐以及百度新闻等在内的多款百度旗下手机应用软件存在安全漏洞,这一漏洞叫WormHole,如果这些软件感染了该漏洞,用户的手机一旦连网,就有被远程控制的风险[45]

参考资料

编辑
  1. ^ 携程“隐私泄露门”引担忧:谁为用户安全买单. 腾讯科技. 2019年6月30日 [2020年7月27日]. (原始内容存档于2020年7月27日). 
  2. ^ wooyun.org WHOIS, DNS, & Domain Info - DomainTools. domaintools.com.. WHOIS. [2020年7月26日]. (原始内容存档于2020年7月26日). 
  3. ^ “白帽”黑客挖漏洞就像徒手检测是否漏电. 中国青年报. 2016-08-02 [2020年7月26日]. (原始内容存档于2020年7月26日). 
  4. ^ Shengzhao Long; Balbir S. Dhillon. Man–Machine–Environment System Engineering: Proceedings of the 17th International Conference on MMESE. Springer. 21 August 2017: 734– [2020-07-26]. ISBN 978-981-10-6232-2. (原始内容存档于2020-08-12). 
  5. ^ 陈明照. Kali Linux渗透测试工具第三版|花小钱做资安,你也是防骇高手(电子书). 碁峰信息股份有限公司. 2019年12月23日: 6– [2020年7月26日]. ISBN 978-986-502-358-4. (原始内容存档于2020年7月30日). 
  6. ^ Richard Chirgwin.China cuffs ten white-hats, nobody knows why. The Register. 1 Aug 2016 [2020-07-26]. (原始内容存档于2020-12-23). 
  7. ^ Hanqing Wu; Liz Zhao. Web Security: A WhiteHat Perspective. CRC Press. 6 April 2015: 237– [2020-07-26]. ISBN 978-1-4665-9262-9. (原始内容存档于2020-07-30). 
  8. ^ WooYun.org. 乌云网. [2020年7月26日]. 原始内容存档于2010年10月26日. 
  9. ^ 9.0 9.1 9.2 乌云网:倒逼互联网企业注重安全防护. 杭州日报. 2014-04-18 [2020-07-27]. (原始内容存档于2020-07-27). 
  10. ^ 两大漏洞报告平台突然停摆:乌云说在升级,漏洞盒子说没被查. 澎湃新闻. 2016-07-20 [2020-07-26]. (原始内容存档于2020-07-26). 
  11. ^ 11.0 11.1 Gene Lin. Founder of China's largest "ethical hacking" community arrested. Hong Kong Free Press. 30 July 2016 [2020-07-26]. (原始内容存档于2021-02-13). 
  12. ^ Dark Times Ahead for Chinese White Hats. Council on Foreign Relations. August 9, 2016 [2020-07-27]. (原始内容存档于2020-11-08). 
  13. ^ India Ashok.China arrests ethical hacker organisation Wooyun's founder. International Business Times. August 1, 2016 [2020-07-27]. (原始内容存档于2020-08-08). 
  14. ^ 漏洞报告平台乌云网宣布暂时关站. 新浪科技. 2011年12月30日 [2020-07-26]. (原始内容存档于2012-01-10). 
  15. ^ 揭秘乌云网:中国最大的黑客培训基地?. 电脑报. 2013-12-02 [2020-07-26]. (原始内容存档于2020-07-26). 
  16. ^ 中国黑客生存特写:互联网金钱帝国里的英雄和盗匪. 钛媒体. 2016-07-22. 
  17. ^ “白帽子”提交世纪佳缘漏洞后被抓,网络安全检测员如何免责. 检察日报. 2016-11-09 [2020-07-26]. (原始内容存档于2020-07-26). 
  18. ^ 如何评价国内SRC纷纷上线“白帽子协议”?. 雷锋网. 2017-06-12 [2020-07-26]. (原始内容存档于2020-08-01). 
  19. ^ "白帽子"面临法律风险 网安法出台为规范行为作铺垫. 正义网. 2016-11-09 [2020-07-26]. (原始内容存档于2020-07-26). 
  20. ^ 中国知名漏洞报告平台乌云网停摆,多名高管被带走. 端传媒. 2016-07-29 [2020-07-26]. (原始内容存档于2020-07-26). 
  21. ^ 杨鑫倢. 两大漏洞报告平台突然停摆:乌云说在升级,漏洞盒子说没被查. 澎湃新闻. 2016-07-20 [2016-08-21]. (原始内容存档于2020-07-27). 
  22. ^ janus. 知名漏洞報告平台「烏雲」被下線,原因可能披露了中國統戰單位的網站漏洞. T客邦. 2016-07-21 [2016-08-21]. (原始内容存档于2020-09-29). 
  23. ^ 李在磊.乌云网停摆. 南方周末. 2016-07-28 [2017-08-26]. (原始内容存档于2020-11-08). 
  24. ^ 乌云网无法访问之后,来探讨下漏洞测试的法律边界在哪里?. 钛媒体. 2016-07-20 [2020-07-27]. (原始内容存档于2020-07-27). 
  25. ^ 网易邮箱CSRF漏洞. 乌云网. 2010年7月14日 [2020年7月26日]. 原始内容存档于2010年7月19日. 
  26. ^ “泄密门”殃及京东商城 用户住址电话疑似裸奔. 每日经济新闻. 2011年12月28日 [2020-07-27]. (原始内容存档于2012-01-15). 
  27. ^ 酷6网某活动用户审核页面 未授权访问. 乌云网. 2011年2月13日 [2020年7月26日]. 原始内容存档于2013年1月17日. 
  28. ^ 李亚蝉.工信部过问泄密事件 当当网称千万用户泄密不实. 每日经济新闻. 2011年12月30日 [2020年7月27日]. (原始内容存档于2020年7月27日). 
  29. ^ 29.0 29.1 京东商城被曝存安全漏洞 用户资料易完全泄露. 搜狐IT. 2011年12月27日 [2020年7月27日]. (原始内容存档于2020年7月27日). 
  30. ^ Beijing Review. 2012 [2020-07-26]. (原始内容存档于2020-08-13). 
  31. ^ 郑汉良. 粤公安厅网站外泄440万内地民众私隐恐祸及港人. 法广. 2011年12月30日 [2020年7月26日]. (原始内容存档于2020年7月26日). 
  32. ^ 余轩. 中国黑客遭报复 曾披露大鳄漏洞. 多维新闻网. 2016-07-29 [2020-07-27]. (原始内容存档于2020-07-27). 
  33. ^ 多家公司卷入“密码门”事件_新浪科技_新浪网. 新浪科技. 2011年12月30日 [2020年7月27日]. (原始内容存档于2020年7月27日). 
  34. ^ 支付宝被曝用户信息外泄 回应称不威胁用户资金. 中国新闻网. 2011年12月29日 [2020-07-27]. (原始内容存档于2020-07-27). 
  35. ^ Xueming Si; Hai Jin; Yi Sun; Jianming Zhu, Liehuang Zhu, Xianhua Song, Zeguang Lu. Blockchain Technology and Application: Second CCF China Blockchain Conference, CBCC 2019, Chengdu, China, October 11–13, 2019, Revised Selected Papers. Springer Nature. 13 February 2020: 2– [2020-07-26]. ISBN 9789811532788. (原始内容存档于2020-08-12). 
  36. ^ 《万晓西专栏》互联网金融风险等于互联网风险和金融风险的核聚变反应. 路透社. 2014年3月26日 [2020年7月27日]. (原始内容存档于2020年7月27日). 
  37. ^ 携程曝支付日志漏洞:可致用户信用卡信息泄露. 新浪科技. 2014-03-22 [2020-07-27]. (原始内容存档于2020-07-08). 
  38. ^ 360公布搜狗收集用户密码证据. 新浪科技. 2013-11-07 [2020-07-27]. (原始内容存档于2020-07-27). 
  39. ^ 乌云曝腾讯漏洞:QQ号可泄露个人关系网和经历. 财经网. 2013年11月18日 [2020-07-26]. (原始内容存档于2020-07-26). 
  40. ^ 吴琳琳. 微信红包被曝存高危漏洞 腾讯:已第一时间修复. 北京青年报. 2015年3月6日 [2020年7月26日]. (原始内容存档于2020年6月24日). 
  41. ^ 智联招聘三年两曝盗卖个人简历 "黑市价"2元涨至5元. 中国经济网. 2019-07-09 [2020年7月27日]. (原始内容存档于2020年7月27日). 
  42. ^ 刘夏. 86万用户信息泄露智联招聘被曝存漏洞. 新京报. 2014-12-04 [2020-07-27]. (原始内容存档于2020-07-27). 
  43. ^ Jin Tian; Jiwu Jing; Mudhakar Srivatsa. International Conference on Security and Privacy in Communication Networks: 10th International ICST Conference, SecureComm 2014, Beijing, China, September 24-26, 2014, Revised Selected Papers, Part II. Springer. 1 December 2015: 406– [2020-07-26]. ISBN 978-3-319-23802-9. (原始内容存档于2020-08-12). 
  44. ^ UC浏览器的“神马搜索”可导致大量敏感信息泄露,涉及人人,QQ空间,新浪微博等. 乌云网. 2014年6月28日 [2020年7月26日]. 原始内容存档于2014年7月30日. 
  45. ^ 多个APP存安全漏洞:百度紧急修复 支付宝否认. 时代周报. 2015-11-03 [2020-07-27]. (原始内容存档于2020-07-27). 

外部链接

编辑