Qual è l'origine delle nuvole scure che sono uscite da Ctrip e da altre perdite?

Alle 18:00 del 23 marzo 2014, la piattaforma di vulnerabilità di Wuyun (Wuyun.com) è stata espostaCtripL'interfaccia del server di pagamento sicuro dispone di una funzione di debug che può salvare i registri di pagamento dell'utente, inclusi il nome del titolare della carta, la carta d'identità, il numero della carta bancaria, il codice CVV della carta, il bin della carta a 6 cifre e altre informazioni. A causa della fuga di informazioni finanziarie personali, ha suscitato forte preoccupazione da ogni estrazione sociale, e altri media si sono affrettati a riportarla, con opinioni diverse.

È indubbiamente sbagliato e stupido memorizzare informazioni sensibili degli utenti nei log di Ctrip, e quando l'opinione pubblica ha portato Ctrip in primo piano, l'autore ha avuto una forte curiosità su Wuyun.com. Guardando alla storia delle rivelazioni sulla vulnerabilità di Wuyun.com, è scioccante:

10 ottobre 2013,Come casae altre informazioni sulle aperture delle camere d'albergo trapelate; 20 novembre,Tencent70 milioniQQI dati degli utenti del gruppo sono stati accusati di fuga di notizie; 26 novembre,360Vulnerabilità nel cambio di password da parte di utenti arbitrari; Il 17 febbraio 2014, vulnerabilità arbitraria di accesso Alipay/Yuebao, gli account dei netizen erano a rischio; Il 26 febbraio 2014, le informazioni sensibili di WeChat hanno fatto trapelare una vulnerabilità, causando la fuga di un gran numero di video degli utenti, e l'impatto è stato paragonabile a quello del XX gate......

Una serie di fughe di notizie ha reso famosi Wuyun.com e questo sito originariamente sconosciuto. Mentre le persone mettono in dubbio le prestazioni irresponsabili delle aziende rilevanti, sono anche piene di domande su Wuyun.com: che tipo di piattaforma è questa e perché può esporre le vulnerabilità delle grandi aziende in una serie di occasioni? Quanti segreti ci sono dietro le nuvole scure?

Dietro le nuvole scure

WooYun è stato fondato nel maggio 2010 e il principale fondatore è Fang Xiaodun, ex esperto di sicurezza di Baidu, noto hacker domestico "Jianxin" nato nel 1987, che ha partecipato al programma "Every Day Upward" di Hunan Satellite TV con Robin Li nel febbraio 2010, diventando noto perché la sua fidanzata ha cantato una canzone. Da allora, Fang Xiaodun ha unito le forze con diverse persone della comunità della sicurezza per creare Wuyun.com, con l'obiettivo di diventare una piattaforma di segnalazione delle vulnerabilità "libera ed eguale".

Nell'Enciclopedia Baidu, Wuyun si descrive come segue: una piattaforma di feedback sulle questioni di sicurezza situata tra produttori e ricercatori di sicurezza, che offre una piattaforma per il benessere pubblico, l'apprendimento, la comunicazione e la ricerca per i ricercatori di sicurezza su Internet, mentre elabora feedback e si occupa di un follow-up su questioni di sicurezza.

Anche se Wuyun si è costruito la sua immagine come organizzazione di terze parti per il benessere pubblico per guadagnarsi la fiducia dei cappelli bianchi e della società. Tuttavia, dopo la verifica, Wuyun.com non è un'istituzione pubblica di terze parti, ma un'azienda puramente privata, e i suoi ricavi derivano dalle regole di divulgazione della vulnerabilità.

Per vulnerabilità generali, le regole di Wuyun.com sono le seguenti:

1. Dopo che il white hat ha inviato la vulnerabilità e superato la revisione, Wuyun.com pubblicherà un riassunto della vulnerabilità, includendo il titolo della vulnerabilità, il fornitore coinvolto, il tipo di vulnerabilità e una breve descrizione

2. Il produttore ha un periodo di conferma di 5 giorni (se non viene confermato entro 5 giorni, verrà ignorato, ma non sarà divulgato e sarà inserito direttamente in 2);

3. Divulgazione ai partner di sicurezza dopo 3 giorni dalla conferma;

4. Divulgare agli esperti nei settori principali e correlati dopo 10 giorni;

5. Dopo 20 giorni, sarà comunicata ai normali cappelli bianchi;

6. Divulgazione agli stagisti con cappello bianco dopo 40 giorni;

7. Disponibile al pubblico dopo 90 giorni;

Si capisce che quando alcune aziende di servizi di sicurezza pagano una certa tariffa per Wuyun.com, possono vedere tutte le vulnerabilità dei loro clienti di servizio in anticipo, ed è legale far trapelare informazioni sulle vulnerabilità all'azienda senza il permesso del cliente? Vale la pena menzionare che i titoli sulle vulnerabilità pubblicati da Wuyun.com provengono interamente da invii white hat, senza alcuna revisione o modifica, e titoli intimidatori come "può portare alla caduta di oltre 1.000 server" e "quasi 10 milioni di dati degli utenti sono a rischio di perdita".

L'autore ha appreso alcune storie da un amico che lavora nel settore della sicurezza da molti anni:

1. Fin dall'inizio, l'esistenza delle nuvole scure serve a attirare l'attenzione di tutte le parti verso la sicurezza, cosa indubbiamente importante.

2. Nel processo di sviluppo, ci sono alcune differenze nelle nuvole scure, che possono derivare dall'incoerenza dell'orientamento al valore degli insiders; Può esserci un nome di immagine, o un profitto, o un dipinto di fama e fortuna;

3. Questo disaccordo rende la sua divulgazione della vulnerabilità una sorta di scambioCoercizione mascherata (chips), e divennero persino un colosseo per PK insieme;

4. Nel processo dal 2 al 3, le autorità industriali corrispondenti (supervisione) hanno più o meno acconsentito (supportato) l'esistenza di nuvole scure.

La divulgazione delle vulnerabilità è ancora più un carnevale

Nella mente del grande pubblico, mistero e pericolo sono sinonimo di hacking. Tuttavia, nel mondo dell'hacking, tutti gli hacker sono principalmente classificati in due tipi: white hat e black hats; coloro che sono disposti a segnalare vulnerabilità alle imprese e non sfruttano le vulnerabilità in modo malizioso sono white hat, mentre i black hat vivono rubando informazioni per profitto.

"Anche se Wuyun ha un periodo di riservatezza per la divulgazione delle vulnerabilità, in realtà non ho bisogno di guardare i dettagli della vulnerabilità. Qualsiasi hacker esperto può testarlo in modo mirato purché legga il titolo e la descrizione della vulnerabilità, quindi nella maggior parte dei casi, una volta annunciata la vulnerabilità, non è difficile ottenere i dettagli il prima possibile. Z, un membro del cerchio hacker che ha segnalato decine di vulnerabilità in Wuyun, ha detto all'autore: "In realtà, quello che vedi è ciò che giochiamo. ”

Il scopritore della vulnerabilità di Ctrip, "Pig Man", è il cappello bianco con il rango più alto nel cloud oscuro, con ben 125 vulnerabilità rilasciate. La sera del 22 marzo, Pigman ha rilasciato due gravi vulnerabilità di sicurezza su Ctrip di seguito e, nel suo precedente curriculum, ha reso pubbliche vulnerabilità di molte aziende note tra cui Tencent, Alibaba, NetEase, Youku e Lenovo, ed è un vero e proprio hacker. Riguardo a chi sia "Pig Man", Z non voleva aggiungere altro, rivelando solo all'autore che Pig Man era in realtà un insider di Wuyun.com.

Un'utopia per hacker

"Poiché i test di sicurezza black box non autorizzati sono illegali, è popolare nel circolo che gli hacker hackerno siti web per rubare informazioni e, infine, finché inviano vulnerabilità ai produttori su Wuyun.com, possono essere imbiancate."

Z ha anche mostrato all'autore un forum privato su Wuyun.com, accessibile solo da white hat selezionati. L'autore ha scoperto in questo forum segreto che ci sono sezioni di discussione speciali su argomenti come l'industria nera, i guadagni online e le guerre cibernetiche. Nell'articolo "Revealing Wuyun.com" pubblicato da Sina Technology nel dicembre 2013, Wuyun.com è stato messo in discussione come "la più grande base di addestramento hacker della Cina", come mostrato nella figura sottostante:

Argomenti simili abbondano nel forum, e molti white hats si sono trasformati in una serra per discutere di tecniche di sfruttamento, di come usare queste scappatoie per l'industria nera e di esplorare l'area grigia del diritto.

Le violazioni della sicurezza diventeranno l'arma di pubbliche relazioni più potente nell'era di Internet?

Con il rapido sviluppo di Internet, anche la catena industriale nera sotterranea sta diventando sempre più grande, e le vulnerabilità di sicurezza minacciano davvero gli interessi reali di tutti.

Dopo che la scappatoia arbitraria di accesso Alipay/Yuebao è stata smascherata il 17 febbraio 2014, Alibaba PR ha rapidamente attaccato e ha preso una ricompensa in denaro di 5 milioni di yuan per coprire l'opinione pubblica. Da allora, ci sono state infinite discussioni di pubbliche relazioni sulla scarsa sicurezza di WeChat Pay e sulle responsabilità reciproche di Alipay. In nome della sicurezza, dietro a tutto ciò c'è il divieto e l'anti-divieto della guerra commerciale di Internet, le pubbliche relazioni nere e gli incidenti anti-neri, che si stanno intensificando, e Wuyun.com ha avuto un ruolo nell'alimentarle.

In considerazione della preoccupazione sociale senza precedenti causata dai continui incidenti di sicurezza rivelati da Wuyun.com, alcuni esperti hanno recentemente iniziato a mettere in discussione se le regole di divulgazione delle vulnerabilità di Wuyun.com siano legali: i media riportano folli basandosi sui titoli delle vulnerabilità e sulle brevi descrizioni pubblicate da Wuyun. Quindi, se qualcuno pubblica deliberatamente false scappatoie, è destinato a causare un impatto molto negativo sull'impresa, chi si farà carico di questa responsabilità? Un'azienda privata che ha così tante vulnerabilità di sicurezza e usa la divulgazione delle vulnerabilità come modello di business, sta a sua volta camminando sull'area grigia della legge?

Nella sua bozza RFC2026 Responsible Vulnerability Disclosure Process, l'Internet Working Group menziona che "i giornalisti dovrebbero assicurarsi che le vulnerabilità siano autentiche." "Tuttavia, quando la vulnerabilità viene rilasciata su Wuyun.com e confermata dall'azienda, l'autenticità e l'accuratezza della vulnerabilità non possono essere conosciute. La divulgazione responsabile della vulnerabilità di sicurezza dovrebbe essere rigorosa, e qualsiasi tecnico che individui una vulnerabilità dovrebbe dichiarare chiaramente l'entità dell'impatto della vulnerabilità, per non causare panico pubblico inutile, come questa porta della carta di credito Ctrip, anche se Wuyun.com è ansiosa di esposizione mediatica e clamore per le proprie esigenze, ma dovrebbe anche spiegare se le informazioni trapelate sono criptate e quale sia l'entità dell'impatto, invece di diventare una cosiddetta "festa principale" e tenere in ostaggio le imprese in nome della sicurezza.

La divulgazione delle vulnerabilità di sicurezza è necessaria, il che non è solo responsabile degli utenti, ma anche della supervisione della sicurezza aziendale, ma vale la pena riflettere su come ottenere davvero una divulgazione responsabile delle vulnerabilità.