|
2014年3月23日午後6時、Wuyun脆弱性プラットフォーム(Wuyun.com)が露呈しましたトリップ安全な決済サーバーインターフェースにはデバッグ機能があり、カード保有者の名前、IDカード、銀行カード番号、カードCVVコード、6桁カードビンなどの支払い記録を保存できます。 個人情報の流出により、あらゆる分野から強い懸念が寄せられ、他のメディアも急いで報道し、意見も分かれています。 Ctripのログに機密ユーザー情報を保存するのは間違いなく愚かであり、世論がCtripを前面に押し出した際、著者は Wuyun.com に強い好奇心を持っていました。 Wuyun.com の脆弱性開示の歴史を見ると、衝撃的です: 2013年10月10日、家のようにその他のホテルの部屋開設情報が漏洩した。 11月20日、テンセント7000万QQグループユーザーデータの漏洩が非難されました。 11月26日、360任意のユーザーによるパスワード変更の脆弱性; 2014年2月17日、Alipay/Yuebaoの恣意的なログイン脆弱性、ネットユーザーのアカウントが危険にさらされました。 2014年2月26日、WeChatの機密情報が脆弱性を漏らし、多数のユーザー動画が流出しました。その影響はXXゲートに匹敵しました...... 一連のリークにより、Wuyun.com とこのもともとは無名のウェブサイトが有名になりました。 関連企業の無責任な業績に疑問を持つ一方で、Wuyun.com についても疑問が湧いています。これは一体どんなプラットフォームで、なぜ大手企業の脆弱性を一連の時間で露呈できるのか? 暗い雲の向こうにはいくつの秘密があるのでしょうか? 暗い雲の向こうで WooYunは2010年5月に設立され、主な創設者は方小敦です。彼は元百度のセキュリティ専門家であり、1987年生まれの有名な国内ハッカー「建心」で、2010年2月に湖南衛星テレビの「Every Day Upward」番組にロビン・リーと共に出演し、ガールフレンドが歌ったことで知られるようになりました。 それ以来、方小敦はセキュリティコミュニティの複数の関係者と協力し、「自由で平等な」脆弱性報告プラットフォームを目指して Wuyun.com を設立しました。 百度百科事典では、Wuyunは自らを次のように説明しています。製造業者とセキュリティ研究者の間に位置するセキュリティ問題フィードバックプラットフォームであり、インターネットセキュリティ研究者のための公共福祉、学習、コミュニケーション、研究の場を提供しつつ、セキュリティ問題に対するフィードバック処理やフォローアップを行っています。 ウーユンは公共福祉のための第三者組織としてのイメージを作り、白帽子や社会の信頼を得ています。 しかし、検証の結果、Wuyun.com は公開の第三者機関ではなく純粋に民間企業であり、その収益は脆弱性開示規則から得られています。 一般的な脆弱性に関するルール Wuyun.com 以下の通りです。 1. ホワイトハットが脆弱性を提出しレビューを通過した後、Wuyun.com 脆弱性の要約を公開します。これには脆弱性のタイトル、関与ベンダー、脆弱性の種類、簡単な説明が含まれます 2. 製造元には5日間の確認期間があります(5日以内に確認されない場合は無視されますが、開示はせず、直接2に入力されます); 3. 確認から3日後にセキュリティパートナーへの開示; 4. 10日後にコアおよび関連分野の専門家に開示すること; 5. 20日後、通常の白帽子に開示されます。 6. 40日後にインターンに告知すること; 7. 90日後に一般公開; 一部のセキュリティサービス会社が一定 Wuyun.com の料金を支払うと、顧客の脆弱性を事前に確認できることが理解されており、顧客の許可なしに脆弱性情報をサービス会社に漏らすことは合法でしょうか? なお、Wuyun.com が公開する脆弱性タイトルは、レビューや修正を一切行わず、ホワイトハットからの投稿のみであり、「1,000台以上のサーバーのダウンにつながる可能性がある」や「約1,000万件のユーザーデータが漏洩のリスクにさらされている」といった威圧的なタイトルも多数存在します。 著者は長年セキュリティ業界で働いている友人からいくつかの話を聞きました。 1. 最初から、暗雲の存在はすべての関係者の安全への注意喚起を目的としており、これは間違いなく重要です。 2. 発展の過程で、暗雲に一定の違いが生じる。これは内部者の価値志向の不整合に起因する可能性がある。 写真の名前や利益、名声や富の写真があるかもしれません。 3. この意見の相違により、脆弱性の開示は一種のものとなります偽装された強制(チップス)さらにはPK同士のコロッセオにもなりました。 4. 2から3の過程で、対応する業界当局(監督)は暗雲の存在をほぼ認め(支持)しました。 脆弱性の公開はさらにお祭りのようなものです 一般の人々の心の中で、謎と危険はハッキングと同義です。 しかし、ハッキングの世界では、すべてのハッカーは主にホワイトハットとブラックハットの2種類に分類されます。企業の脆弱性を公表し、悪意を持って脆弱性を悪用しない者はホワイトハットであり、ブラックハットは利益のために情報を盗んで生計を立てています。 「Wuyunには脆弱性の開示に関する機密保持期間がありますが、実際には私が脆弱性の詳細を見る必要はありません。 経験豊富なハッカーなら、脆弱性のタイトルや説明を読めばターゲットを絞ってテストできるため、ほとんどの場合、脆弱性が発表されると、できるだけ早く詳細を入手するのは難しくありません。 Wuyunで数十件の脆弱性を提出してきたハッカーサークルのメンバーZは、著者にこう語りました。「実際、あなたが見ているものが私たちがプレイしているものです。 ” クトリップの脆弱性を発見した「ピッグマン」は、暗雲の中で最もランクの高いホワイトハットであり、最大125の脆弱性が公開されています。 3月22日の夜、PigmanはCtripに関する深刻なセキュリティ脆弱性を2つ連続で公開し、前作ではTencent、Alibaba、NetEase、Youku、Lenovoなど多くの有名企業の脆弱性を公開しており、まさにハッカーと言われています。 「ピッグマン」が誰かについては、Zはそれ以上は語りたくなく、著者に「ピッグマンが実は Wuyun.com の内部関係者だった」と明かしました。 ハッカーのためのユートピア 「無許可のブラックボックスセキュリティテストは違法であるため、ハッカーがウェブサイトをハッキングして情報を盗み、最終的には Wuyun.com 上で製造者に脆弱性を提出すれば、ホワイトウォッシュされるという説がこのコミュニティで流行しています。」 Zはまた、審査済みのホワイトハット(白帽子)のみアクセス可能なプライベートフォーラムを Wuyun.com に示しました。 著者はこの秘密のフォーラムで、ブラック産業、オンライン稼ぎ、サイバー戦争などのテーマに関する特別討論セクションがあることを発見しました。 2013年12月に新浪科技が発表した記事「Revealing Wuyun.com」では、Wuyun.com が「中国最大のハッカー訓練拠点」として疑問視され、以下の図に示されています。 フォーラムには似たような話題が溢れており、多くのホワイトハットは搾取技術やこれらの抜け穴を使ってブラック産業を運営する方法、そして法律のグレーゾーンをさまよいながら議論する温室のような存在となっています。 セキュリティ侵害はインターネット時代で最も強力な広報手段になるのでしょうか? インターネットの急速な発展により、国内の地下ブラック産業チェーンもますます大きくなり、セキュリティの脆弱性は実際の利益を脅かしています。 2014年2月17日にアリペイ/月宝の恣意的なログインの抜け穴が明らかになると、アリババPRは迅速に攻撃し、世論をかわすために500万元の現金懸賞金を受け取りました。 それ以来、WeChat Payのセキュリティの不備やAlipayの相互責任についての広報草稿が終わりなく続いています。 安全保障の名の下には、インターネットビジネス戦争の禁止と反禁止、黒人広報、反黒人事件が激化しており、Wuyun.com もそれを助長しています。 Wuyun.com が継続的に開示したセキュリティインシデントによる前例のない社会的懸念を踏まえ、最近では一部の専門家が Wuyun.com の脆弱性開示ルールが合法かどうか疑問を呈しています。メディアはWuyunが公開した脆弱性のタイトルや簡単な説明から、狂ったと報じています。 したがって、誰かが意図的に虚偽の抜け穴を公表すれば、それは企業に非常に悪影響を及ぼすのは避けられません。その責任は誰が負うのでしょうか? これほど多くのセキュリティ脆弱性を抱え、脆弱性開示をビジネスモデルとして利用している民間企業は、法律のグレーゾーンを踏んでいるのでしょうか? インターネット作業部会RFC2026責任ある脆弱性開示プロセスの草案では、「記者は脆弱性が本物であることを確実にすべきだ」と述べています。 「しかし、脆弱性が Wuyun.com 上で公開され、企業によって確認された場合、脆弱性の真偽や正確性は知ることができません。 責任あるセキュリティ脆弱性の開示は厳格であるべきであり、脆弱性を発見した技術担当者は、その脆弱性の影響範囲を明確に述べるべきです。そうすることで、たとえCtripのクレジットカードの扉のような不必要な公共のパニックを避けられるように、たとえ自社のメディア露出や誇大宣伝を望んでいても Wuyun.com が、漏洩情報が暗号化されているかどうか、影響の範囲を説明すべきです。いわゆる「見出しのパーティー」となり、セキュリティの名の下に企業を人質に取るのではなく。 セキュリティ脆弱性の開示は必要であり、これはユーザーだけでなく企業のセキュリティ監督にも責任を負いますが、真に責任ある脆弱性開示を実現する方法は考える価値があります。
| 
掲載地 2015/09/26 16:41:22
|
|
|
|
