Quelle est l’origine des nuages sombres qui ont éclaté de Ctrip et d’autres fuites ?

À 18h, le 23 mars 2014, la plateforme de vulnérabilité de Wuyun (Wuyun.com) a été exposéeCtripL’interface sécurisée du serveur de paiement dispose d’une fonction de débogage qui peut sauvegarder les enregistrements de paiement de l’utilisateur, y compris le nom du titulaire de la carte, la carte d’identité, le numéro de carte bancaire, le code CVV de la carte, la boîte à 6 chiffres et d’autres informations. En raison de la fuite d’informations financières personnelles, cela a suscité de vives inquiétudes dans tous les horizons, et d’autres médias se sont empressés de le rapporter, avec des avis divergents.

Il est indéniablement inacceptable et stupide de stocker des informations sensibles des utilisateurs dans les journaux de Ctrip, et lorsque l’opinion publique a mis Ctrip en avant, l’auteur a eu une vive curiosité à Wuyun.com. En regardant l’histoire des révélations de vulnérabilité de Wuyun.com, c’est choquant :

10 octobre 2013,Comme chez moiet d’autres informations sur l’ouverture des chambres d’hôtel ont fuité ; 20 novembre,Tencent70 millionsQQLes données des utilisateurs du groupe ont été accusées de fuite ; 26 novembre,360Vulnérabilités lors du changement de mots de passe par des utilisateurs arbitraires ; Le 17 février 2014, la vulnérabilité arbitraire de connexion Alipay/Yuebao a mis en danger les comptes des internautes ; Le 26 février 2014, les informations sensibles de WeChat ont divulgué une vulnérabilité, entraînant la fuite d’un grand nombre de vidéos utilisateurs, et l’impact était comparable à celui de XX gate......

Une série de fuites a rendu Wuyun.com et ce site web jusque-là inconnu célèbres. Alors que les gens remettent en question la performance irresponsable des entreprises concernées, ils se posent aussi des questions sur Wuyun.com : quel type de plateforme est-ce, et pourquoi peut-elle exposer les vulnérabilités des grandes entreprises à plusieurs reprises ? Combien de secrets y a-t-il derrière ces nuages sombres ?

Derrière les nuages sombres

WooYun a été fondé en mai 2010, et le fondateur principal est Fang Xiaodun, ancien expert en sécurité chez Baidu, un hacker domestique bien connu « Jianxin » né en 1987, qui a participé à l’émission « Every Day Upward » de Hunan Satellite TV avec Robin Li en février 2010, et est devenu connu parce que sa petite amie chantait une chanson. Depuis, Fang Xiaodun s’est associé à plusieurs membres de la communauté de la sécurité pour créer Wuyun.com, dans le but de devenir une plateforme de signalement des vulnérabilités « libre et équitable ».

Dans l’Encyclopédie Baidu, Wuyun se décrit ainsi : une plateforme de retour sur les questions de sécurité située entre les fabricants et les chercheurs en sécurité, offrant une plateforme pour le bien-être public, l’apprentissage, la communication et la recherche pour les chercheurs en sécurité Internet tout en traitant les retours et en suivant les questions de sécurité.

Bien que Wuyun ait construit son image d’organisation tierce pour le bien-être public afin de gagner la confiance des blancs et de la société. Cependant, après vérification, Wuyun.com n’est pas une institution tierce publique, mais une entreprise purement privée, et ses revenus proviennent de ses règles de divulgation de vulnérabilité.

Pour les vulnérabilités générales, les règles de Wuyun.com sont les suivantes :

1. Après que le white hat ait soumis la vulnérabilité et réussi la revue, Wuyun.com publiera un résumé de la vulnérabilité, incluant le titre de la vulnérabilité, le fournisseur impliqué, le type de vulnérabilité, ainsi que la brève description

2. Le fabricant dispose d’un délai de confirmation de 5 jours (si elle n’est pas confirmée dans les 5 jours, elle sera ignorée, mais elle ne sera pas divulguée, et elle sera directement saisie dans 2) ;

3. Divulgation aux partenaires de sécurité après 3 jours de confirmation ;

4. Divulguer aux experts dans les domaines clés et connexes après 10 jours ;

5. Après 20 jours, il sera communiqué aux chapeaux blancs ordinaires ;

6. Divulgation aux internes blancs après 40 jours ;

7. Disponible au public après 90 jours ;

Il est entendu que lorsque certaines entreprises de services de sécurité paient un certain montant pour Wuyun.com, elles peuvent voir toutes les vulnérabilités de leurs clients à l’avance, et est-il légal de divulguer des informations sur les vulnérabilités à la société sans la permission du client ? Il convient de mentionner que les titres sur vulnérabilités publiés par Wuyun.com proviennent entièrement de soumissions en white hat, sans aucune revue ni modification, et que des titres intimidants tels que « peut entraîner la chute de plus de 1 000 serveurs » et « près de 10 millions de données utilisateurs sont à risque de fuite » abondent.

L’auteur a appris quelques histoires d’un ami qui travaille dans le secteur de la sécurité depuis de nombreuses années :

1. Dès le début, l’existence de nuages sombres vise à attirer l’attention de toutes les parties sur la sécurité, ce qui est indéniablement important.

2. Dans le processus de développement, certaines différences existent dans les nuages sombres, qui peuvent découler de l’incohérence de l’orientation valorisée des initiés ; Il peut y avoir un nom de tableau, un profit, ou une image de renommée et de fortune ;

3. Ce désaccord fait de sa divulgation de vulnérabilité une sorte de divulgationCoercition déguisée (puces), et sont même devenus un colisée pour PK ensemble ;

4. Dans le processus de 2 à 3, les autorités industrielles correspondantes (supervision) ont plus ou moins accepté (soutenu) l’existence de nuages sombres.

La divulgation des vulnérabilités est encore plus un carnaval

Dans l’esprit du grand public, mystère et danger sont synonymes de piratage. Cependant, dans le monde du piratage, tous les hackers sont principalement classés en deux catégories : les white hats et les black hats ; ceux qui sont prêts à révéler leurs vulnérabilités aux entreprises et ne les exploitent pas de manière malveillante sont des white hats, tandis que les black hats vivent de l’information à des fins lucratives.

« Bien que Wuyun ait une période de confidentialité pour la divulgation des vulnérabilités, en fait, je n’ai pas besoin de regarder les détails de la vulnérabilité. Tout hacker expérimenté peut le tester de façon ciblée tant qu’il lit le titre et la description de la vulnérabilité, donc dans la plupart des cas, une fois la vulnérabilité annoncée, il n’est pas difficile d’obtenir les détails de la vulnérabilité le plus rapidement possible. Z, un membre du cercle hacker qui a soumis des dizaines de vulnérabilités dans Wuyun, a déclaré à l’auteur : « En fait, ce que vous voyez, c’est ce que nous jouons. ”

Le découvreur de la vulnérabilité de Ctrip, « Pig Man », est le chapeau blanc le plus haut classé dans le nuage noir, avec jusqu’à 125 vulnérabilités publiées. Le soir du 22 mars, Pigman a publié deux vulnérabilités de sécurité sérieuses concernant Ctrip d’affilée, et dans son précédent bilan, il a révélé des vulnérabilités de nombreuses entreprises connues, dont Tencent, Alibaba, NetEase, Youku et Lenovo, et est un véritable hacker. Concernant qui est « Pig Man », Z n’a pas voulu en dire plus, se contentant de révéler à l’auteur que Pig Man était en réalité un initié de Wuyun.com.

Une utopie pour hackers

« Parce que les tests de sécurité non autorisés par boîte noire sont illégaux, il est courant dans le milieu que les hackers piratent des sites web pour voler des informations, et enfin, tant qu’ils soumettent des vulnérabilités aux fabricants sur Wuyun.com, elles peuvent être blanchies. »

Z a également montré à l’auteur un forum privé sur Wuyun.com, accessible uniquement par des white hats vérifiés. L’auteur a découvert dans ce forum secret qu’il existe des sections de discussion spéciales sur des sujets tels que l’industrie noire, les revenus en ligne et les guerres cybernétiques. Dans l’article « Revealing Wuyun.com » publié par Sina Technology en décembre 2013, Wuyun.com a été remise en question comme étant « la plus grande base de formation de hackers en Chine », comme le montre la figure ci-dessous :

Des sujets similaires abondent sur le forum, et de nombreux « white hats » se sont transformés en serres pour discuter des techniques d’exploitation, comment utiliser ces failles pour faire travailler l’industrie noire, et s’aventurer dans la zone grise du droit.

Les violations de sécurité deviendront-elles l’arme de relations publiques la plus puissante à l’ère d’Internet ?

Avec le développement rapide d’Internet, la chaîne industrielle noire souterraine nationale devient également de plus en plus importante, et les vulnérabilités de sécurité menacent vraiment les intérêts réels de tous.

Après que la faille de connexion arbitraire Alipay/Yuebao a été révélée le 17 février 2014, Alibaba PR a rapidement attaqué et a obtenu une prime en espèces de 5 millions de yuans pour couvrir l’opinion publique. Depuis, il y a eu d’innombrables discussions de relations publiques sur la faible sécurité de WeChat Pay et les responsabilités mutuelles d’Alipay. Au nom de la sécurité, derrière cela se trouvent l’interdiction et l’anti-interdiction de la guerre des affaires d’Internet, les relations publiques noires et les incidents anti-noirs, qui s’intensifient, et Wuyun.com a joué un rôle dans cette alimentation.

Compte tenu de l’inquiétude sociale sans précédent causée par les incidents de sécurité continus révélés par Wuyun.com, certains experts ont récemment commencé à remettre en question la légalité des règles de divulgation de vulnérabilité de Wuyun.com : les médias rapportent des démonstrations insensées sur la base des titres et descriptions brèves publiés par Wuyun. Donc, si quelqu’un publie délibérément de fausses failles, cela risque d’avoir un impact très négatif sur l’entreprise, qui assumera cette responsabilité ? Une entreprise privée qui possède autant de vulnérabilités de sécurité et utilise la divulgation des vulnérabilités comme modèle économique marche-t-elle elle-même dans la zone grise de la loi ?

Dans son projet RFC2026 Processus responsable de divulgation des vulnérabilités, le groupe de travail Internet mentionne que « les journalistes doivent s’assurer que les vulnérabilités sont authentiques ». « Cependant, lorsque la vulnérabilité est publiée sur Wuyun.com et confirmée par l’entreprise, l’authenticité et la précision de la vulnérabilité ne peuvent être connues. La divulgation responsable de la vulnérabilité en matière de sécurité doit être rigoureuse, et tout technicien qui découvre une vulnérabilité doit clairement indiquer l’ampleur de l’impact de la vulnérabilité, afin de ne pas provoquer une panique publique inutile, comme cette porte de carte Ctrip, même si Wuyun.com souhaite une exposition médiatique et du battage médiatique à cause de ses propres besoins, mais elle doit aussi expliquer si l’information fuitée est chiffrée et quelle est l’ampleur de l’impact, plutôt que de devenir une soi-disant « partie en tête d’affiche » et de retenir des entreprises en otage au nom de la sécurité.

La divulgation des vulnérabilités de sécurité est nécessaire, ce qui est non seulement responsable des utilisateurs, mais aussi de la supervision de la sécurité de l’entreprise, mais la manière d’atteindre une véritable divulgation responsable des vulnérabilités mérite d’être examinée.