Mi az eredete a Ctripből és más szivárgásokból kitörő sötét felhőknek?

2014. március 23-án este 18 órakor leleplezték a Wuyun sebezhetőségi platformot (Wuyun.com)CtripA biztonságos fizetési szerver felülete hibakeresési funkcióval rendelkezik, amely elmentheti a felhasználó fizetési nyilvántartásait, beleértve a kártyatulajdonos nevét, személyi igazolványát, bankkártyaszámát, kártya CVV kódját, a 6 számjegyű kártyatárolót és egyéb információkat. A személyes pénzügyi információk kiszivárogtatása miatt minden társadalmi rétegből erős aggodalmat váltott ki, és más médiumok is sietve jelentették ezt, és eltérő vélemények születnek.

Kétségtelenül helytelen és ostobaság érzékeny felhasználói információkat tárolni Ctrip naplóiban, és amikor a közvélemény Ctripet helyezte előtérbe, a szerző erős kíváncsiságot táplált Wuyun.com iránt. A Wuyun.com sebezhetőségi feltárásának történetét nézve megdöbbentő:

2013. október 10.Mint otthonés más szállodai szoba megnyitó információk szivárogtak; November 20.Tencent70 millióQQa csoportos felhasználói adatokat azzal vádolták, hogy kiszivárogtak; November 26.360Sérülékenységek, amikor tetszőleges felhasználók jelszavakat változtatnak; 2014. február 17-én az Alipay/Yuebao önkényes bejelentkezési sebezhetősége miatt a netifelhasználók fiókjai veszélybe kerültek; 2014. február 26-án a WeChat érzékeny információi kiszivárogtak a sebezhetőség, ami miatt sok felhasználói videó szivárogott ki, és a hatás hasonló volt az XX Gate-hez......

Számos szivárogtatás tette híressé Wuyun.com és ezt a korábban ismeretlen weboldalt. Miközben az emberek megkérdőjelezik a releváns vállalatok felelőtlen teljesítményét, ugyanakkor tele vannak kérdésekkel Wuyun.com: Milyen platform ez, és miért tárja fel a nagy vállalatok sebezhetőségeit több időnként? Hány titok rejtőzik a sötét felhők mögött?

A sötét felhők mögött

A WooYun-t 2010 májusában alapították, a fő alapító Fang Xiaodun, a Baidu korábbi biztonsági szakértője, egy ismert hazai hacker, "Jianxin", aki 1987-ben született, és 2010 februárjában részt vett a Hunan Satellite TV "Every Day Upward" műsorában Robin Li-vel, és ismertté vált, mert barátnője énekelt egy dalt. Azóta Fang Xiaodun több biztonsági személlyel is összefogott a biztonsági közösség tagjaival, hogy létrehozzák a Wuyun.com-t, azzal a céllal, hogy "ingyenes és egyenlő" sebezhetőség-jelentési platformvá váljon.

A Baidu enciklopédiában a Wuyun a következőképpen írja le magát: egy biztonsági kérdésekkel foglalkozó visszacsatolási platform, amely a gyártók és a biztonsági kutatók között helyezkedik el, és platformot biztosít közjóléti, tanulási, kommunikációs és kutatási platformot az internetes biztonsági kutatók számára, miközben visszajelzéseket dolgoznak fel és követik a biztonsági kérdéseket.

Bár Wuyun a közjóléti harmadik fél szervezetként építette meg imázsát, hogy elnyerje a fehér kalaposok és a társadalom bizalmát. Azonban az ellenőrzés után Wuyun.com nem nyilvános harmadik fél intézmény, hanem tisztán magánvállalat, és bevétele a sebezhetőségi közzétételi szabályokból származik.

Általános sebezhetőségek esetén a Wuyun.com szabályai a következők:

1. Miután a fehér kalap benyújtotta a sebezhetőséget és átment az értékelésen, Wuyun.com összefoglalót tesz közzé a sebezhetőségről, beleértve a sebezhetőség címét, az érintett gyártót, a sebezhetőség típusát és a rövid leírást

2. A gyártónak 5 napos megerősítési ideje van (ha 5 napon belül nem erősítik meg, figyelmen kívül hagyják, de nem hozzák nyilvánosságra, és közvetlenül bekerülnek a 2-be);

3. A biztonsági partnerek számára történő közzététel 3 nap megerősítés után;

4. 10 nap után tájékoztassák a mag- és kapcsolódó területek szakértőinek;

5. 20 nap múlva a hétköznapi fehér kalaposok számára is felfedik;

6. A gyakornok fehér kalapos bejelentése 40 nap után;

7. 90 nap után elérhető a nagyközönség számára;

Úgy értik, hogy amikor egyes biztonsági szolgáltató cégek bizonyos díjat fizetnek Wuyun.com-nek, előre láthatják az összes sebezhetőséget az ügyfélszolgálati ügyfeleiknek, és jogszerű-e a sebezhetőségi információkat kiszivárogtatni a szolgáltatónak az ügyfél engedélye nélkül? Érdemes megemlíteni, hogy a Wuyun.com által kiadott sebezhetőségi címek teljes egészében fehér kalapos beküldésekből származnak, felülvizsgálat és módosítás nélkül, és olyan megfélemlítő címek, mint például "több mint 1000 szerver összeomlásához vezethet" vagy "közel 10 millió felhasználói adat szivárogtatás veszélye van".

A szerző néhány történetet tanult egy barátjától, aki évek óta dolgozik a biztonsági iparban:

1. A sötét felhők létezése már a kezdetektől fogva arra szolgál, hogy felkeltse minden fél figyelmét a biztonságra, ami kétségtelenül fontos.

2. A fejlődés során bizonyos különbségek vannak a sötét felhőkben, amelyek a bennfentesek értékorientációjának következetlenségéből fakadhatnak; Lehet képnév, nyereség, vagy képi hírnév és vagyon;

3. Ez a nézeteltérés teszi a sebezhetőség feltárását egyfajtaÁlcázott kényszerítés (chips), sőt, még PK közös kolosseumé is váltak;

4. A 2-től 3-ig terjedő folyamat során a megfelelő iparági hatóságok (felügyelet) többé-kevésbé elfogadták (támogatták) a sötét felhők létezését.

A sebezhetőségek feltárása még inkább egy karnevál

A nagyközönség szemében a rejtély és a veszély egyet jelent a hackeléssel. Azonban a hackelők világában minden hackert főként két típusba sorolnak: fehér kalaposok és fekete kalapok, akik hajlandóak a vállalatok számára sebezhetőségeket jelenteni és nem használják ki rosszindulatúan, fehér kalapok, míg a fekete kalapok információlopással élnek meg profitért.

"Bár Wuyun titoktartási időszakot kap a sebezhetőségek nyilvánosságra hozatalára, valójában nem kell a sebezhetőség részleteit megnéznem. Minden tapasztalt hacker célzottan tesztelheti ezt, amennyiben elolvassa a sebezhetőség címét és leírását, így a legtöbb esetben, amint a sebezhetőség bejelentése megtörténik, nem nehéz minél előbb megszerezni a sebezhetőség részleteit. Z, a hacker kör tagja, aki tucatnyi sebezhetőséget küldött be Wuyunban, azt mondta a szerzőnek: "Valójában amit látsz, azt játszunk. ”

Ctrip sebezhetőségének felfedezője, "Disznóember", a legmagasabb rangú fehér kalapos a sötét felhőben, akár 125 sebezhetőséggel is felszabadulva. Március 22-én este Pigman két komoly biztonsági sebezhetőséget jelentett meg egymás után Ctripről, és korábbi rekordjában számos ismert vállalat sebezhetőségét is felhozta, köztük a Tencent, Alibaba, NetEase, Youku és Lenovo esetében, és igazi hacker. A "Disznóember" esetében Z nem akart többet mondani, csak azt fedte meg a szerzőnek, hogy Disznó Ember valójában Wuyun.com bennfentes embere.

Utópia a hackereknek

"Mivel az engedély nélküli fekete doboz biztonsági tesztelése illegális, népszerű a körökben, hogy a hackerek feltörik a weboldalakat információlopás céljából, és végül, amíg a gyártóknak a sebezhetőségeket benyújtják Wuyun.com-en, azokat fehéríthetők."

Z egy privát fórumot is mutatott a szerzőnek Wuyun.com-ről, amelyet csak átvizsgált fehér kalaposok érhetnek el. A szerző ezen a titkos fórumon találta, hogy különleges vitaszekciók vannak olyan témákban, mint a fekete ipar, az online kereset és a kiberháborúk. A Sina Technology 2013 decemberében megjelent "Revealing Wuyun.com" című cikkében Wuyun.com "Kína legnagyobb hackerképző bázisának" nevezték, ahogy az alábbi ábrán látható:

Hasonló témák bőven szólnak a fórumon, és sok fehér kalapos átalakult üvegházká, ahol kizsákmányolási technikákról beszélgetnek, hogyan lehet ezeket a kiskapukat felhasználni fekete ipar működtetésére, és elkalandozni a jog szürke zónájában.

A biztonsági résértések lesznek-e az internetes korszak legerősebb PR-fegyvere?

Az internet gyors fejlődésével a hazai földalatti fekete iparlánc is egyre nagyobbá válik, és a biztonsági sebezhetőségek valóban veszélyeztetik mindenki valódi érdekeit.

Miután 2014. február 17-én leleplezték az Alipay/Yuebao önkényes bejelentkezési kiskapukat, az Alibaba PR gyorsan megtámadta és 5 millió jüános pénzjutalmat vont fel a közvélemény lefedésére. Azóta végtelen PR-tervezetek érkeztek a WeChat Pay és az Alipay kölcsönös felelősségeinek gyenge biztonságáról. A biztonság nevében mögötte áll az internetes üzleti háború, a fekete PR és a feketeellenes incidensek betiltása és tiltása, amelyek fokozódnak, és Wuyun.com is hozzájárult ennek elősegítéséhez.

Tekintettel a Wuyun.com által feltárt folyamatos biztonsági incidensek példátlan társadalmi aggodalmára, néhány szakértő nemrégiben elkezdte megkérdőjelezni, hogy a Wuyun.com sebezhetőségi feltárási szabályai jogszerűek-e: a média őrültségről számol be a Wuyun által közzétett sebezhetőségi címek és rövid leírások alapján. Tehát ha valaki szándékosan hamis kiskapukat tesz közzé, az biztosan nagyon rossz hatással lesz a vállalkozásra, ki viseli ezt a felelősséget? Egy magáncég, amelynek ennyi biztonsági sebezhetősége van, és a sebezhetőségek nyilvánosságra hozatalát használja üzleti modellként, maga is a törvény szürke zónájára lép?

Az Internet Munkacsoport a Felelős Kisebezhetőség Közzétételi Folyamatának RFC2026 tervezetében megemlíti, hogy "a riportereknek biztosítaniuk kell, hogy a sebezhetőségek valódiak legyenek." "Azonban, amikor a sebezhetőséget Wuyun.com-n felhozzák és a vállalat megerősíti, a sebezhetőség hitelessége és pontossága nem ismerhető. A felelős biztonsági sebezhetőség közzétételének szigorúnak kell lennie, és minden technikai dolgozónak, aki sebezhetőséget talál, világosan meg kell mutatnia a sebezhetőség hatásának mértékét, hogy ne okozzon felesleges közpánikot, mint ez a Ctrip hitelkártya-ajtó, még akkor is, ha Wuyun.com saját igényei miatt aggódik a média megjelenése és felhajtása miatt, de azt is el kell magyaráznia, hogy a kiszivárgott információk titkosítottak-e és milyen a hatás mértéke, ahelyett, hogy úgynevezett "főszereplő párt" válna, és a biztonság nevében túszul ejtse a vállalatokat.

A biztonsági sebezhetőségek feltárása szükséges, ami nemcsak a felhasználókért, hanem a vállalati biztonság felügyeletéért is felelős, de érdemes átgondolni, hogyan lehet valóban felelős sebezhetőségek feltárását elérni.