烏雲網

互联网漏洞报告平台

烏雲網[3]WooYun[4])是一個位於中國大陸資安情報網站[5],於2010年5月由方小頓孟德聯合創立[6]。該網站是一個介於企業安全研究者之間的安全漏洞報告平台[7]。2016年7月20日凌晨,烏雲網突然被關閉,僅顯示一張「烏雲及相關服務升級公告」的圖片。截至2020年8月25日,該網站依舊展示升級公告,無法訪問。

烏雲網
網站類型
資安情報網站
總部 中華人民共和國
創始人方小頓
孟德[1]
網址www.wooyun.org
推出時間2010年5月6日[2]
現狀關閉

烏雲網將自身標榜為「自由平等的漏洞報告平台」[8],《杭州日報》稱其為蓋在中國眾多企業頭上名副其實的一朵「烏雲[9],《澎湃新聞》稱其為「中國最大的漏洞報告平台」[10],《香港自由新聞》稱其為「中國最大的道德黑客社區[11]公共政策智庫美國外交關係協會稱其為「中國最大的計算機漏洞報告平台」[12],《國際財經時報》英國版稱其為「中國最大的白帽黑客社區之一」[13]

中國大陸媒體電腦報》報道,烏雲網的成名戰發生在2011年年底。當年11月,該網站根據白帽子提供的材料,接連披露網易支付寶京東商城等中國互聯網巨頭存在高危漏洞,12月29日更是指出支付寶1500萬至2500萬用戶資料被泄露。12月30日,烏雲網發佈聲明宣佈暫時關站,對系統做短暫的升級,公告稱,「最近頻繁披露的安全事件及帶來的影響表明,一方面我們企業的整體安全建設還不夠完善,但是同樣反饋出我們烏雲平台和社區無論是溝通渠道還是反饋及響應機制都存在一些嚴重的問題」[14]。此後,該網站又相繼披露出酒店開房信息泄露、支付寶漏洞、搜狗瀏覽器泄露用戶數據、騰訊7000萬QQ群用戶數據泄露等[15]

法律事件

賈偉事件

2011年4月,烏雲網白帽子賈偉在京東商城購物時,無意間發現了京東存在技術漏洞,該漏洞可以獲取京東所有客戶賬號密碼及個人信息。隨即,他將這一情況反饋給京東技術人員,這位技術人員主動聯繫賈偉,表示將在第一時間內修復漏洞。賈偉連續跟蹤觀察了8個月後,發現這一漏洞並沒有被修復。於是,他便把漏洞發佈到烏雲平台,京東也驗證了自己存在的漏洞,並以官方身份進行了漏洞確認。但京東的技術人員依然無法確認具體的漏洞所在,賈偉表示只要聘請他為高級技術顧問,並支付約240萬元勞務費,就可以為京東商城修復這一漏洞。不料,京東商城以網絡被入侵並被「敲詐勒索」為由,向北京朝陽區公安局報警,12月30日,賈偉被警方帶走,一個多月後,他被保釋出獄[16]

袁煒事件

2015年12月,烏雲網白帽子袁煒發現世紀佳緣的系統存在漏洞,並在烏雲網上提交了這一漏洞。世紀佳緣確認並修復了漏洞,並向烏雲網和袁煒致謝[17]。但事後,世紀佳緣統計發現,有900多條數據被攻擊者獲取。出於對信息安全的擔憂,世紀佳緣選擇報警。警方調查後發現只有袁煒一個人涉嫌此案。最後,袁煒被檢察院公訴,2016年4月被批准逮捕。這一事件被外界稱為「袁煒事件」。這一事件震動了中國信息安全界,隨之而來的是各界對白帽子行為邊界的激烈討論[18]。一些網絡安全業內人士和法律人士稱,袁煒事件或將成為中國互聯網安全史上一個標誌性的「分水嶺」[19]

關站「升級」

2016年7月20日凌晨,烏雲官網突然被關閉,僅顯示一張「烏雲及相關服務升級公告」的圖片,並附言 「與其聽信謠言,不如相信烏雲」[20]。據外界推測可能是內部整頓[21][22]。《財新網》援引消息人士稱,包括創始人方小頓在內的烏雲網數名團隊成員7月19日被警方帶走[11]。但前烏雲合伙人楊蔚闢謠稱是謠言,並表示「謠言止於智者」[23]。7月19日晚,新浪微博大V互聯網那些事」爆料稱烏雲網被連鍋端,高層全部被警方拷走[24]。截至2020年8月18日,該網站依舊展示升級公告,無法訪問。

漏洞披露

網易郵箱

  • 2010年7月14日,烏雲網披露網易郵箱存在CSRF漏洞,並將這一危害等級定義為「高」,成功攻擊可能導致用戶數據被竊取[25]
  • 2011年12月27日,烏雲網稱網易163郵箱在找回密碼頁面莫名綁定陌生的QQ號碼,懷疑163郵箱賬號被大面積種植後門網易公司對此表示網易郵箱被種植後門的說法屬於謠言,網易當前的系統程序一切正常,後台不存在漏洞,且賬號信息也沒有被泄露。網易還對發佈謠言的行為表示遺憾譴責[26]

酷6網

2011年2月13日,烏雲網披露,酷6網某活動用戶審核頁面存在未授權訪問漏洞,並將這一危害等級定義為「高」[27]

當當網

2011年11月,烏雲網指出當當網由於設計缺陷可導致用戶資料泄露[28]

京東商城

2011年12月27日,烏雲網稱,京東商城在某些業務上存在用戶權限控制不當的漏洞,導致用任意用戶登錄系統後,都可正常訪問到所有用戶的敏感信息[29]。28日,京東發佈聲明進行回應稱經過核查京東並未查到相應漏洞,用戶的信息密碼也都為加密儲存,並未遭到泄露。烏雲網則稱京東已對該漏洞有所察覺,但京東商城卻予以否認。京東正式否認捲入「泄密門[29]

廣東省公安廳出入境政務服務網

2011年12月,烏雲網披露,廣東省公安廳出入境政務服務網後台存在漏洞[30],440萬的用戶資料外泄。據香港東方日報》報道,廣東省公安廳於29日承認漏洞事件屬實,但宣稱已修補有關漏洞[31]

支付寶

2011年12月29日,烏雲網指出支付寶1500萬至2500萬用戶資料泄露遭到泄露[32],而這些數據被用於網絡營銷。支付寶對此回應,只有賬號外泄,對用戶資金安全沒有威脅[33]。支付寶同時表示,其採取金融級的信息安全標準,任何人都不能從支付寶獲得用戶密碼等私密信息[34]

中國民生銀行

2013年10月,烏雲網披露中國民生銀行存在漏洞,該漏洞可導致民生銀行Android客戶端敏感信息泄露,該網站詳細描述稱,「賬戶權限控制沒做好,漏了幾個地方。導致可查詢任意賬號的餘額及進出帳情況」[35]

中國鐵路客戶服務中心

2011年1月19日,烏雲網第一次披露中國鐵路客戶服務中心(俗稱12306網站)存在技術漏洞,披露者是該網站白帽子「路人甲」,他表示,「火車票難買啊,於是打算看下鐵道部的安全」,結果發現給12306提供域名註冊、空間服務的第三方公司由於DNS伺服器出現問題,導致12306網站的DNS記錄被泄露。自2011年以來,烏雲共披露了12306網站40多條漏洞。2013年12月6日,新版12306網站上線僅幾個小時後,烏雲網便發現了漏洞,稱漏洞可能導致用戶信息泄露。中國鐵路總公司立即作出回應表示漏洞已在第一時間修復。不過,時隔20多天後,烏雲網再次指出,12306網站某接口CDN問題存在漏洞,會導致用戶敏感信息泄漏。次日,12306回復確認該漏洞存在,並表示在第一時間修補了漏洞。[9]

攜程

2014年3月22日,烏雲網披露攜程系統存技術漏洞,編號為54302,發佈者是烏雲網的核心白帽子黑客「豬豬俠」[36]。該漏洞導致攜程網安全支付日誌可遍歷下載,致使大量用戶銀行卡信息泄露。此外,攜程某分站原始碼包可直接下載(涉及數據庫配置和支付接口信息)。對此,攜程立即展開技術排查,並在兩小時內修復該漏洞。漏洞曝光後,原谷歌公司技術總監胡寧新浪微博上表示,攜程此次事件並不是低級技術錯誤,並建議讓攜程應立即提醒用戶更換信用卡[37]。攜程網漏洞被披露後,立即掀熱議,成為頭條新聞。很多人表示,兩個小時足夠「黑帽子」從中獲取用戶的信息。3月24日那一天,攜程的股價應聲大跌[9]

搜狗瀏覽器

2013年11月5日,烏雲網指出搜狗瀏覽器存在漏洞,中國中央電視台24小時》、《新聞直播間》、《熱點掃描》、《交易時間》等欄目詳細報道了記者驗證該漏洞信息的整個過程[38]

騰訊

  • 2013年11月18日,烏雲網披露騰訊QQ存在漏洞,並將這一危害等級定義為「高」,該漏洞可導致QQ號泄露用戶個人關係網和經歷[39]
  • 2015年3月5日,烏雲網披露騰訊公司旗下的微信紅包存在高危漏洞黑客可以設計程序自動領取他人發放的紅包。不過,騰訊方面回應稱,這一問題早在兩個月前已發現,並在第一時間完成了修復[40]

智聯招聘

2014年12月2日,烏雲網白帽子「天地不仁以萬物為芻狗」提交了一個關於「導致智聯招聘86萬用戶簡歷信息泄露」的漏洞。對此,智聯招聘予以否認[41]。次日,烏雲網又提交了一個關於「智聯招聘信息泄露進入內部郵箱」的漏洞,類型為「重要敏感信息泄露」[42]

UC瀏覽器

2014年6月28日,烏雲網公開披露UC瀏覽器存在高危漏洞[43],該瀏覽器的「神馬搜索」可導致大量敏感信息泄露,涉及人人網QQ空間以及新浪微博[44]

百度

2015年10月,烏雲網披露包括百度地圖百度瀏覽器百度音樂以及百度新聞等在內的多款百度旗下手機應用軟件存在安全漏洞,這一漏洞叫WormHole,如果這些軟件感染了該漏洞,用戶的手機一旦連網,就有被遠程控制的風險[45]

參考資料

  1. ^ 携程“隐私泄露门”引担忧:谁为用户安全买单. 騰訊科技. 2019年6月30日 [2020年7月27日]. (原始內容存檔於2020年7月27日). 
  2. ^ wooyun.org WHOIS, DNS, & Domain Info - DomainTools. domaintools.com.. WHOIS. [2020年7月26日]. (原始內容存檔於2020年7月26日). 
  3. ^ “白帽”黑客挖漏洞就像徒手检测是否漏电. 中國青年報. 2016-08-02 [2020年7月26日]. (原始內容存檔於2020年7月26日). 
  4. ^ Shengzhao Long; Balbir S. Dhillon. Man–Machine–Environment System Engineering: Proceedings of the 17th International Conference on MMESE. Springer. 21 August 2017: 734– [2020-07-26]. ISBN 978-981-10-6232-2. (原始內容存檔於2020-08-12). 
  5. ^ 陳明照. Kali Linux渗透测试工具第三版|花小钱做资安,你也是防骇高手(电子书). 碁峰信息股份有限公司. 2019年12月23日: 6– [2020年7月26日]. ISBN 978-986-502-358-4. (原始內容存檔於2020年7月30日). 
  6. ^ Richard Chirgwin.China cuffs ten white-hats, nobody knows why. The Register. 1 Aug 2016 [2020-07-26]. (原始內容存檔於2020-12-23). 
  7. ^ Hanqing Wu; Liz Zhao. Web Security: A WhiteHat Perspective. CRC Press. 6 April 2015: 237– [2020-07-26]. ISBN 978-1-4665-9262-9. (原始內容存檔於2020-07-30). 
  8. ^ WooYun.org. 烏雲網. [2020年7月26日]. 原始內容存檔於2010年10月26日. 
  9. ^ 9.0 9.1 9.2 乌云网:倒逼互联网企业注重安全防护. 杭州日報. 2014-04-18 [2020-07-27]. (原始內容存檔於2020-07-27). 
  10. ^ 两大漏洞报告平台突然停摆:乌云说在升级,漏洞盒子说没被查. 澎湃新聞. 2016-07-20 [2020-07-26]. (原始內容存檔於2020-07-26). 
  11. ^ 11.0 11.1 Gene Lin. Founder of China's largest "ethical hacking" community arrested. Hong Kong Free Press. 30 July 2016 [2020-07-26]. (原始內容存檔於2021-02-13). 
  12. ^ Dark Times Ahead for Chinese White Hats. Council on Foreign Relations. August 9, 2016 [2020-07-27]. (原始內容存檔於2020-11-08). 
  13. ^ India Ashok.China arrests ethical hacker organisation Wooyun's founder. International Business Times. August 1, 2016 [2020-07-27]. (原始內容存檔於2020-08-08). 
  14. ^ 漏洞报告平台乌云网宣布暂时关站. 新浪科技. 2011年12月30日 [2020-07-26]. (原始內容存檔於2012-01-10). 
  15. ^ 揭秘乌云网:中国最大的黑客培训基地?. 電腦報. 2013-12-02 [2020-07-26]. (原始內容存檔於2020-07-26). 
  16. ^ 中国黑客生存特写:互联网金钱帝国里的英雄和盗匪. 鈦媒體. 2016-07-22. 
  17. ^ “白帽子”提交世纪佳缘漏洞后被抓,网络安全检测员如何免责. 檢察日報. 2016-11-09 [2020-07-26]. (原始內容存檔於2020-07-26). 
  18. ^ 如何评价国内SRC纷纷上线“白帽子协议”?. 雷鋒網. 2017-06-12 [2020-07-26]. (原始內容存檔於2020-08-01). 
  19. ^ "白帽子"面临法律风险 网安法出台为规范行为作铺垫. 正義網. 2016-11-09 [2020-07-26]. (原始內容存檔於2020-07-26). 
  20. ^ 中国知名漏洞报告平台乌云网停摆,多名高管被带走. 端傳媒. 2016-07-29 [2020-07-26]. (原始內容存檔於2020-07-26). 
  21. ^ 楊鑫倢. 两大漏洞报告平台突然停摆:乌云说在升级,漏洞盒子说没被查. 澎湃新聞. 2016-07-20 [2016-08-21]. (原始內容存檔於2020-07-27). 
  22. ^ janus. 知名漏洞報告平台「烏雲」被下線,原因可能披露了中國統戰單位的網站漏洞. T客邦. 2016-07-21 [2016-08-21]. (原始內容存檔於2020-09-29). 
  23. ^ 李在磊.乌云网停摆. 南方周末. 2016-07-28 [2017-08-26]. (原始內容存檔於2020-11-08). 
  24. ^ 乌云网无法访问之后,来探讨下漏洞测试的法律边界在哪里?. 鈦媒體. 2016-07-20 [2020-07-27]. (原始內容存檔於2020-07-27). 
  25. ^ 网易邮箱CSRF漏洞. 烏雲網. 2010年7月14日 [2020年7月26日]. 原始內容存檔於2010年7月19日. 
  26. ^ “泄密门”殃及京东商城 用户住址电话疑似裸奔. 每日經濟新聞. 2011年12月28日 [2020-07-27]. (原始內容存檔於2012-01-15). 
  27. ^ 酷6网某活动用户审核页面 未授权访问. 烏雲網. 2011年2月13日 [2020年7月26日]. 原始內容存檔於2013年1月17日. 
  28. ^ 李亞蟬.工信部过问泄密事件 当当网称千万用户泄密不实. 每日經濟新聞. 2011年12月30日 [2020年7月27日]. (原始內容存檔於2020年7月27日). 
  29. ^ 29.0 29.1 京东商城被曝存安全漏洞 用户资料易完全泄露. 搜狐IT. 2011年12月27日 [2020年7月27日]. (原始內容存檔於2020年7月27日). 
  30. ^ Beijing Review. 2012 [2020-07-26]. (原始內容存檔於2020-08-13). 
  31. ^ 鄭漢良. 粤公安厅网站外泄440万内地民众私隐恐祸及港人. 法廣. 2011年12月30日 [2020年7月26日]. (原始內容存檔於2020年7月26日). 
  32. ^ 余軒. 中国黑客遭报复 曾披露大鳄漏洞. 多維新聞網. 2016-07-29 [2020-07-27]. (原始內容存檔於2020-07-27). 
  33. ^ 多家公司卷入“密码门”事件_新浪科技_新浪网. 新浪科技. 2011年12月30日 [2020年7月27日]. (原始內容存檔於2020年7月27日). 
  34. ^ 支付宝被曝用户信息外泄 回应称不威胁用户资金. 中國新聞網. 2011年12月29日 [2020-07-27]. (原始內容存檔於2020-07-27). 
  35. ^ Xueming Si; Hai Jin; Yi Sun; Jianming Zhu, Liehuang Zhu, Xianhua Song, Zeguang Lu. Blockchain Technology and Application: Second CCF China Blockchain Conference, CBCC 2019, Chengdu, China, October 11–13, 2019, Revised Selected Papers. Springer Nature. 13 February 2020: 2– [2020-07-26]. ISBN 9789811532788. (原始內容存檔於2020-08-12). 
  36. ^ 《万晓西专栏》互联网金融风险等于互联网风险和金融风险的核聚变反应. 路透社. 2014年3月26日 [2020年7月27日]. (原始內容存檔於2020年7月27日). 
  37. ^ 携程曝支付日志漏洞:可致用户信用卡信息泄露. 新浪科技. 2014-03-22 [2020-07-27]. (原始內容存檔於2020-07-08). 
  38. ^ 360公布搜狗收集用户密码证据. 新浪科技. 2013-11-07 [2020-07-27]. (原始內容存檔於2020-07-27). 
  39. ^ 乌云曝腾讯漏洞:QQ号可泄露个人关系网和经历. 財經網. 2013年11月18日 [2020-07-26]. (原始內容存檔於2020-07-26). 
  40. ^ 吳琳琳. 微信红包被曝存高危漏洞 腾讯:已第一时间修复. 北京青年報. 2015年3月6日 [2020年7月26日]. (原始內容存檔於2020年6月24日). 
  41. ^ 智联招聘三年两曝盗卖个人简历 "黑市价"2元涨至5元. 中國經濟網. 2019-07-09 [2020年7月27日]. (原始內容存檔於2020年7月27日). 
  42. ^ 劉夏. 86万用户信息泄露智联招聘被曝存漏洞. 新京報. 2014-12-04 [2020-07-27]. (原始內容存檔於2020-07-27). 
  43. ^ Jin Tian; Jiwu Jing; Mudhakar Srivatsa. International Conference on Security and Privacy in Communication Networks: 10th International ICST Conference, SecureComm 2014, Beijing, China, September 24-26, 2014, Revised Selected Papers, Part II. Springer. 1 December 2015: 406– [2020-07-26]. ISBN 978-3-319-23802-9. (原始內容存檔於2020-08-12). 
  44. ^ UC浏览器的“神马搜索”可导致大量敏感信息泄露,涉及人人,QQ空间,新浪微博等. 烏雲網. 2014年6月28日 [2020年7月26日]. 原始內容存檔於2014年7月30日. 
  45. ^ 多个APP存安全漏洞:百度紧急修复 支付宝否认. 時代周報. 2015-11-03 [2020-07-27]. (原始內容存檔於2020-07-27). 

外部連結