情'Blog 文章列表: [首页] 第2页 第3页 第4页 第5页 第6页 [尾页]


乌云平台"升级"无法访问 或受"白帽子"被捕影响

发布日期: 2016-07-21    浏览次数:     文章作者: qing edit


昨天,国内知名漏洞报告平台乌云出现了无法访问的情况,乌云方面称是业务升级的原因。不过也有传言称,乌云平台关停是受到了不久前“白帽子”袁炜被捕事件的影响,甚至乌云的高管也被有关部门约谈。 

  事件

  平台暂停服务引发传言

  乌云是国内影响最大的漏洞提交平台之一,为数众多的白帽子(寻找计算机或网络系统中的漏洞,但不进行恶意利用的电脑高手)在乌云上发布自己发现的企业和网站的漏洞,促使相关企业和网站封堵漏洞。不过昨天开始,有人发现乌云平台无法访问了。随后,乌云网页发出了一篇公告称,“乌云及相关服务将进行升级,我们将在最短的时间内,以最好的姿态回归。”将停止服务的原因解释为业务升级。

  无独有偶,人们发现,除了乌云之外,另外一家漏洞平台漏洞盒子也在19日发布了一份公告,表示:“近期漏洞盒子管理团队将对漏洞盒子网站平台vulbox.com进行例行维护。在网站维护期间,暂停互联网漏洞与威胁情报接收。”

  两个漏洞平台几乎在同一时间因为升级或者维护而暂停服务,看起来很是巧合。于是在安全行业内,有一种说法开始流传,乌云和漏洞盒子的暂停服务,与之前的“袁炜事件”有关。甚至网上还有人称,“乌云出事了,据说连锅端了,高层都铐走了!”

  记者向多位安全行业内部人士了解,对于背后的原因众说纷纭,但真实情况大家都不清楚。

   回应

  乌云漏洞盒子否认传言

  乌云网相关人士昨天对记者表示,网站暂停服务,就是因为业务升级,“不知道那些谣言是从哪里出来的”。而漏洞盒子更是在其官网又发布了一篇公告,称:“漏洞盒子平台业务运营按照年度计划既定进行,目前全线产品业务运转正常,与其他事件无任何关联。对于任何外界初始及转载的不实报道行为、单位和个人,我公司保留进一步法律诉讼的权利。”记者登录后证实,乌云网现在确实处于暂停服务状态,而漏洞盒子则可以正常登录。

  不过也有白帽子行业资深人士透露,“乌云的事现在有相关部门介入调查,但没有外界传得那么夸张。”有消息人士也表示,“据说乌云网的负责人被有关部门约谈了”。

  背景

  袁炜事件再度被提及

  乌云平台的暂停服务,让一些人联想到了前一阵国内安全圈里最有争议性的“袁炜事件”。袁炜是注册在乌云上的一名“白帽子”,去年12月份,他在乌云提交了其发现的婚恋交友网站世纪佳缘的系统漏洞,当时世纪佳缘确认并修复了该漏洞,同时还向乌云以及袁炜表示了感谢。但是,一个月后,世纪佳缘因“网站数据被非法获取”报警,4月份,袁炜被司法机关逮捕。在不久前的第四届网络安全大会上,袁炜的父亲发出公开信为儿子鸣冤,也让袁炜事件成为国内安全圈最轰动的事件。

  世纪佳缘方面曾向记者表示,之所以报警,是因为有黑客利用漏洞获取了其超过900条用户信息,在袁炜被捕前,世纪佳缘并不知道获取用户信息与提交漏洞的是同一个人。世纪佳缘也认为,获取超过900条用户信息,也超过了发现和验证漏洞的必要程度。不过也有多位白帽子向记者证实,袁炜的做法,实际上是白帽子当中很正常和普遍的行为,“白帽子多数都是这样找漏洞的”。

  据法律专家介绍,“白帽子”的行为,严格来说是违反我国现行法律的,只是长期以来,因为白帽子的行为实际上是在帮助企业维护安全,因此“民不举官不究”,处在一个灰色地带,只要没有恶意行为,就不会被企业追究。而袁炜的被捕,打破了企业与白帽子之间原本的“默契”,也对白帽子的行为边界到底在哪里提出了拷问。

  “没有袁炜事件,白帽子和企业之间的这种灰色状态还可能一直持续下去,但是这件事可以改写这种局面。白帽子希望自己的行为能够得到更多的保护,不用担心因触犯法律被抓,但法律层面上又将白帽子的行为视为非法。当这种矛盾被激化的时候,国家相关部门就不能继续坐视不管了,采取一些举措也在情理当中。”有安全行业内人士说,“不过,乌云的暂停是否真的与此有关,外人就不得而知了。”


-----------------------------------------------------------------

引读

如何看待白帽子在乌云网提交世纪佳缘网漏洞后被抓?


世纪佳缘CEO 吴琳光 回复:



最近一直有朋友和我说起这个事情,和很多网友一样,在知乎上我也看到了标题诸如“世纪佳缘钓鱼白帽子”的各种帖子。要不要回应,我也思虑再三。公司同事的意见各不相同,有的建议回应,有的反对。今天,我觉得还是有必要作一下说明,让网友们了解更多的信息。

去年12月4日上午9点,乌云依照行业惯例通知我们网站存在SQL数据库注入漏洞。事实上,我们负责网络安全的同事在12月3日晚上10点多就发现有多个IP地址对网站进行SQL注入攻击。当晚他们就行动了起来,通过技术手段阻断了部分攻击。

乌云通知我们之后,我们也确认了该漏洞,并在乌云上向白帽子致谢,毕竟互联网的安全需要大家一起努力。漏洞的修复需要一定时间,攻击一直持续到12月4日晚上直至我们完全修复。事后统计发现,攻击总次数累计达到4000余次,共有900多条有效数据被攻击者获取。攻击者会如何使用这些信息数据我们不得而知,出于对用户数据和信息安全的担忧,我们还是选择了报警。

警方调查后发现,涉案人袁炜于2015年12月3日和4日使用黑客软件Sqlmap扫描世纪佳缘网站,通过漏洞获取了网站数据。依照刑法,侵入计算机信息系统,获得存储、处理或传输的数据超过500条就属于刑事犯罪的范畴了。今年4月12日,北京市朝阳区人民检察院依据“非法获取计算机信息系统数据犯罪”批准逮捕涉案人袁炜。目前案件还在走司法程序,我们也相信司法机关会依据事实公平公正处理这个案子。

我在知乎上看了不少关于“世纪佳缘钓鱼白帽子”的文章,写的有些像小说,但其实与事实并不相符。我在这里告诉大家一个事实:

从乌云通知我们有漏洞至今,世纪佳缘都从未获得过漏洞提交者(即涉案人袁炜)的联系方式,也从未与他取得联系,钓鱼一说是安在我们头上“莫须有”的罪名。

在警方和我们披露调查结果之前,我们并不知道提交漏洞的白帽子和攻击者是同一个人,我们报警的初衷也是为了对用户隐私和信息安全负责,并不针对任何个人或群体。今年5月,袁炜的家属也和我们的同事、乌云三方共同坐在一起沟通过此事,但这个事情已经进入司法公诉程序,我们能做的有限,毕竟起诉人不是世纪佳缘,而是检方。

世纪佳缘是目前中国最大的在线婚恋交友平台,用户信息中有很多涉及了公民隐私,而如果这些隐私被攻击者泄露,作为CEO我责无旁贷,熟悉安全领域的网友都知道,近年来这样的案例并不少。在互联网上,每一天都有网站会遭遇黑客或白帽子的攻击或扫描,世纪佳缘也不例外,有些小网站甚至会因此瘫痪。在这个事件中,世纪佳缘的数据被非法获取,我们也是受害者。

在维护网络安全方面,世纪佳缘和所有的互联网公司一样,一直以来都努力提升用户体验和网站安全。在此,我再次感谢所有为互联网安全做出过贡献的小伙伴们,不论是作为机构的网络安全公司,还是作为个人的白帽子。

谢谢大家。

吴琳光

世纪佳缘

--------------------------------------------------------------------------------



<< 留言评论 >>

本文:乌云平台"升级"无法访问 或受"白帽子"被捕影响,来自情'Blog

低价出售:六合彩,时时彩,股票T+0 现金皇冠网,等投注平台源码 另外出售:全讯网,足球比分,直播网,小姐威客网,同城交友 网狐棋牌整站带教程,充气娃娃销售下单源码 联系QQ:33089632

上一篇:大富豪3.4版全套棋牌游戏源码pc安卓苹果三网通【新版】 下一篇:澳门VIP贵宾厅娱乐城源码带手机版商业版真人视讯源码+接水程序-已修复正常开奖-集成真人对接

点击这里给我发消息

      神刀网      雨路    iick     人生注入点    啊D  sh3llc0de  暗月

           免责申明:

本站开放的目的是收集各种Web漏洞资源,给予代码分析审计人员和脚本安全研究人员的一些学习资料或者参考资料!本网站提供的源码与平台或工具,仅为程序爱好者提供学习交流用,绝不能用做非法用途,任何情况下引触所属地区之法律,网友须自行承担责任,与本站无任何关系与法律风险,所以任何人不得将此用于非法途径!漏洞作者以及本站不承担任何风险!

Copyright© 2010-9999 情'Blog, all right reserved.