Artikel ini adalah artikel cermin dari terjemahan mesin, silakan klik di sini untuk melompat ke artikel aslinya.

Jaringan Pertanian Architect_Programmer_Code»Arsitek Area Manajemen Saran keluhan tempat sampah daur ulang Apa sumber awan gelap yang keluar dari Ctrip dan kebocoran lainnya ...
Melihat: 8519|Jawab: 0

Apa asal awan gelap yang keluar dari Ctrip dan kebocoran lainnya?

[Salin tautan]
Diposting pada 26/09/2015 16.41.22 | | | |

Pada pukul 6 sore tanggal 23 Maret 2014, platform kerentanan Wuyun (Wuyun.com) tereksposCtripAntarmuka server pembayaran yang aman memiliki fungsi debugging yang dapat menyimpan catatan pembayaran pengguna, termasuk nama pemegang kartu, KTP, nomor kartu bank, kode CVV kartu, tempat sampah kartu 6 digit, dan informasi lainnya. Karena kebocoran informasi keuangan pribadi, hal itu telah menimbulkan kekhawatiran yang kuat dari semua lapisan masyarakat, dan media lain bergegas melaporkannya, dan ada pendapat yang berbeda.

Tidak diragukan lagi salah dan bodoh untuk menyimpan informasi pengguna sensitif di log Ctrip, dan ketika opini publik mendorong Ctrip ke garis depan, penulis memiliki rasa ingin tahu yang kuat tentang Wuyun.com. Melihat sejarah pengungkapan kerentanan Wuyun.com, itu mengejutkan:

10 Oktober 2013,Seperti rumahdan informasi pembukaan kamar hotel lainnya bocor; 20 November,Tencent70 jutaQQdata pengguna grup dituduh bocor; 26 November,360Kerentanan dalam mengubah kata sandi oleh pengguna sewenang-wenang; Pada 17 Februari 2014, kerentanan login sewenang-wenang Alipay/Yuebao, akun netizen berisiko; Pada tanggal 26 Februari 2014, informasi sensitif WeChat membocorkan kerentanan, mengakibatkan sejumlah besar video pengguna bocor, dan dampaknya sebanding dengan XX gate......

Serangkaian kebocoran telah membuat Wuyun.com dan situs web yang awalnya tidak dikenal ini terkenal. Sementara orang mempertanyakan kinerja perusahaan terkait yang tidak bertanggung jawab, mereka juga penuh dengan pertanyaan tentang Wuyun.com: Platform macam apa ini, dan mengapa dapat mengekspos kerentanan perusahaan besar dalam beberapa kali? Berapa banyak rahasia yang ada di balik awan gelap?

Di balik awan gelap

WooYun didirikan pada Mei 2010, dan pendiri utamanya adalah Fang Xiaodun, mantan ahli keamanan di Baidu, seorang peretas domestik terkenal "Jianxin" yang lahir pada tahun 1987, yang berpartisipasi dalam program "Every Day Upward" Hunan Satellite TV dengan Robin Li pada Februari 2010, dan menjadi dikenal karena pacarnya menyanyikan sebuah lagu. Sejak itu, Fang Xiaodun telah bergabung dengan beberapa orang di komunitas keamanan untuk mendirikan Wuyun.com, dengan tujuan menjadi platform pelaporan kerentanan yang "bebas dan setara".

Dalam Baidu Encyclopedia, Wuyun menggambarkan dirinya sebagai berikut: platform umpan balik masalah keamanan yang terletak di antara produsen dan peneliti keamanan, menyediakan platform untuk kesejahteraan publik, pembelajaran, komunikasi, dan penelitian bagi peneliti keamanan Internet sambil memproses umpan balik dan menindaklanjuti masalah keamanan.

Meskipun Wuyun telah membangun citranya sebagai organisasi pihak ketiga untuk kesejahteraan publik untuk mendapatkan kepercayaan dari topi putih dan masyarakat. Namun, setelah verifikasi, Wuyun.com bukan lembaga pihak ketiga publik, tetapi perusahaan swasta murni, dan pendapatannya berasal dari aturan pengungkapan kerentanannya.

Untuk kerentanan umum, aturan Wuyun.com adalah sebagai berikut:

1. Setelah white hat mengirimkan kerentanan dan lulus peninjauan, Wuyun.com akan menerbitkan ringkasan kerentanan, termasuk judul kerentanan, vendor yang terlibat, jenis kerentanan, dan deskripsi singkat

2. Pabrikan memiliki periode konfirmasi 5 hari (jika tidak dikonfirmasi dalam waktu 5 hari, itu akan diabaikan, tetapi tidak akan diungkapkan, dan akan langsung dimasukkan ke dalam 2);

3. Pengungkapan kepada mitra keamanan setelah 3 hari konfirmasi;

4. Mengungkapkan kepada para ahli di bidang inti dan terkait setelah 10 hari;

5. Setelah 20 hari, itu akan diungkapkan kepada topi putih biasa;

6. Pengungkapan kepada topi putih magang setelah 40 hari;

7. Tersedia untuk umum setelah 90 hari;

Dapat dipahami bahwa ketika beberapa perusahaan layanan keamanan membayar biaya tertentu kepada Wuyun.com, mereka dapat melihat semua kerentanan pelanggan layanan mereka terlebih dahulu, dan apakah legal untuk membocorkan informasi kerentanan ke perusahaan layanan tanpa izin pelanggan? Perlu disebutkan bahwa judul kerentanan yang diterbitkan oleh Wuyun.com seluruhnya berasal dari kiriman topi putih, tanpa tinjauan dan modifikasi apa pun, dan judul yang mengintimidasi seperti "dapat menyebabkan jatuhnya lebih dari 1.000 server" dan "hampir 10 juta data pengguna berisiko bocor" berlimpah.

Penulis mempelajari beberapa cerita dari seorang teman yang telah bekerja di industri keamanan selama bertahun-tahun:

1. Sejak awal, keberadaan awan gelap adalah untuk membangkitkan perhatian semua pihak terhadap keselamatan, yang tidak diragukan lagi penting.

2. Dalam proses pengembangan, ada perbedaan tertentu dalam awan gelap, yang mungkin berasal dari inkonsistensi orientasi nilai orang dalam; Mungkin ada nama gambar, atau keuntungan, atau gambaran ketenaran dan kekayaan;

3. Ketidaksepakatan ini membuat pengungkapan kerentanan menjadi semacamPemaksaan terselubung (chip), dan bahkan menjadi colosseum bagi PK satu sama lain;

4. Dalam proses dari 2 hingga 3, otoritas industri terkait (pengawasan) kurang lebih menyetujui (mendukung) keberadaan awan gelap.

Pengungkapan kerentanan bahkan lebih merupakan karnaval

Di benak masyarakat umum, misteri dan bahaya identik dengan peretasan. Namun, di dunia peretasan, semua peretas terutama diklasifikasikan menjadi dua jenis: topi putih dan topi hitam, mereka yang bersedia mengumumkan kerentanan kepada perusahaan dan tidak mengeksploitasi kerentanan secara jahat adalah topi putih, sedangkan topi hitam mencari nafkah dengan mencuri informasi untuk mendapatkan keuntungan.

"Meskipun Wuyun memiliki masa kerahasiaan untuk pengungkapan kerentanan, nyatanya saya tidak perlu melihat detail kerentanan. Setiap peretas berpengalaman dapat mengujinya secara tepat sasaran selama dia membaca judul dan deskripsi kerentanan, jadi dalam banyak kasus, setelah kerentanan diumumkan, tidak sulit untuk mendapatkan detail kerentanan sesegera mungkin. Z, anggota lingkaran peretas yang telah mengirimkan lusinan kerentanan di Wuyun, mengatakan kepada penulis, "Faktanya, apa yang Anda lihat adalah apa yang kami mainkan. ”

Penemu kerentanan Ctrip, "Pig Man", adalah topi putih dengan peringkat tertinggi di awan gelap, dengan sebanyak 125 kerentanan dirilis. Pada malam hari tanggal 22 Maret, Pigman merilis dua kerentanan keamanan serius tentang Ctrip berturut-turut, dan dalam rekaman Pigman sebelumnya, ia telah merilis kerentanan banyak perusahaan terkenal termasuk Tencent, Alibaba, NetEase, Youku, dan Lenovo, dan merupakan peretas sejati. Mengenai siapa "Pig Man", Z tidak ingin mengatakan lebih banyak, hanya mengungkapkan kepada penulis bahwa Pig Man sebenarnya adalah orang dalam Wuyun.com.


Utopia untuk peretas

"Karena pengujian keamanan kotak hitam yang tidak sah adalah ilegal, sangat populer di lingkaran bahwa peretas meretas situs web untuk mencuri informasi, dan akhirnya selama mereka mengirimkan kerentanan kepada produsen di Wuyun.com, mereka dapat diputihkan."

Z juga menunjukkan kepada penulis forum pribadi di Wuyun.com, yang hanya dapat diakses oleh topi putih yang diperiksa. Penulis menemukan di forum rahasia ini bahwa ada bagian diskusi khusus tentang topik-topik seperti industri kulit hitam, penghasilan online, dan perang dunia maya. Dalam artikel "Revealing Wuyun.com" yang dirilis oleh Sina Technology pada bulan Desember 2013, Wuyun.com ditanyai sebagai "basis pelatihan peretas terbesar di China", seperti yang ditunjukkan pada gambar di bawah ini:


Topik serupa berlimpah di forum, dan banyak topi putih telah berubah menjadi rumah kaca untuk membahas teknik eksploitasi, bagaimana menggunakan celah ini untuk melakukan industri hitam, dan mengembara di area abu-abu hukum.

Akankah pelanggaran keamanan menjadi senjata hubungan masyarakat paling ampuh di era Internet?

Dengan pesatnya perkembangan Internet, rantai industri hitam bawah tanah domestik juga menjadi semakin besar, dan kerentanan keamanan benar-benar mengancam kepentingan aktual semua orang.

Setelah celah login sewenang-wenang Alipay/Yuebao terungkap pada 17 Februari 2014, Alibaba PR dengan cepat menyerang dan mengeluarkan hadiah uang tunai sebesar 5 juta yuan untuk menutupi opini publik. Sejak itu, ada draf hubungan masyarakat yang tak ada habisnya tentang keamanan WeChat Pay yang buruk dan tanggung jawab bersama Alipay. Atas nama keamanan, di baliknya adalah pelarangan dan anti-pelarangan perang bisnis Internet, hubungan masyarakat kulit hitam dan insiden anti-kulit hitam, yang semakin intensif, dan Wuyun.com telah berperan dalam memicu itu.

Mengingat kekhawatiran sosial yang belum pernah terjadi sebelumnya yang disebabkan oleh insiden keamanan berkelanjutan yang diungkapkan oleh Wuyun.com, beberapa ahli baru-baru ini mulai mempertanyakan apakah aturan pengungkapan kerentanan Wuyun.com legal: media melaporkan gila berdasarkan judul kerentanan dan deskripsi singkat yang diterbitkan oleh Wuyun. Jadi jika seseorang dengan sengaja menerbitkan celah palsu, itu pasti akan menyebabkan dampak yang sangat buruk pada perusahaan, siapa yang akan memikul tanggung jawab ini? Apakah perusahaan swasta yang memiliki begitu banyak kerentanan keamanan dan menggunakan pengungkapan kerentanan sebagai model bisnisnya, dengan sendirinya menginjak area abu-abu hukum?

Dalam draf RFC2026 Proses Pengungkapan Kerentanan yang Bertanggung Jawab, Kelompok Kerja Internet menyebutkan bahwa "wartawan harus memastikan bahwa kerentanan itu asli." "Namun, ketika kerentanan dirilis pada Wuyun.com dan dikonfirmasi oleh perusahaan, keaslian dan keakuratan kerentanan tidak dapat diketahui. Pengungkapan kerentanan keamanan yang bertanggung jawab harus ketat, dan setiap pekerja teknis yang menemukan kerentanan harus dengan jelas menyatakan ruang lingkup dampak kerentanan, agar tidak menyebabkan kepanikan publik yang tidak perlu, seperti pintu kartu kredit Ctrip ini, bahkan jika Wuyun.com cemas akan paparan media dan hype karena kebutuhannya sendiri, tetapi juga harus menjelaskan apakah informasi yang bocor dienkripsi dan apa ruang lingkup dampaknya, daripada menjadi apa yang disebut "pesta utama" dan menyandera perusahaan atas nama keamanan.

Pengungkapan kerentanan keamanan diperlukan, yang tidak hanya bertanggung jawab atas pengguna, tetapi juga untuk pengawasan keamanan perusahaan, tetapi bagaimana benar-benar mencapai pengungkapan kerentanan yang bertanggung jawab patut direnungkan.






Mantan:Jenis antarmuka atau metode yang dapat dilalui dengan foreach perlu diterapkan.
Depan:XMLHttpRequest tidak dapat memuat ''. Tidak ada 'Access-Control-Allow-Origin'
Sanggahan:
Semua perangkat lunak, materi pemrograman, atau artikel yang diterbitkan oleh Code Farmer Network hanya untuk tujuan pembelajaran dan penelitian; Konten di atas tidak boleh digunakan untuk tujuan komersial atau ilegal, jika tidak, pengguna akan menanggung semua konsekuensi. Informasi di situs ini berasal dari Internet, dan sengketa hak cipta tidak ada hubungannya dengan situs ini. Anda harus sepenuhnya menghapus konten di atas dari komputer Anda dalam waktu 24 jam setelah pengunduhan. Jika Anda menyukai program ini, harap dukung perangkat lunak asli, pembelian pendaftaran, dan dapatkan layanan asli yang lebih baik. Jika ada pelanggaran, silakan hubungi kami melalui email.
Mail To:help@itsvse.com