Hva er opprinnelsen til de mørke skyene som brøt ut fra Ctrip og andre lekkasjer?

Klokken 18.00 den 23. mars 2014 ble Wuyun-sårbarhetsplattformen (Wuyun.com) avslørtCtripDet sikre betalingsservergrensesnittet har en feilsøkingsfunksjon som kan lagre brukerens betalingsopplysninger, inkludert kortinnehaverens navn, ID-kort, bankkortnummer, kortets CVV-kode, 6-sifret kortbeholder og annen informasjon. På grunn av lekkasjen av personlig økonomisk informasjon har det vakt sterk bekymring fra alle samfunnslag, og andre medier har hastet med å rapportere det, og det finnes ulike meninger.

Det er utvilsomt galt og dumt å lagre sensitiv brukerinformasjon i Ctrips logger, og da opinionen presset Ctrip frem, hadde forfatteren en sterk nysgjerrighet på Wuyun.com. Når man ser på historien bak Wuyun.com sårbarhetsavsløringer, er det sjokkerende:

10. oktober 2013,Som hjemmeog annen informasjon om hotellromåpning lekket; 20. november,Tencent70 millionerQQgruppebrukerdata ble anklaget for lekkasje; 26. november,360Sårbarheter ved å endre passord av vilkårlige brukere; Den 17. februar 2014 var Alipay/Yuebao-sårbarheten for vilkårlig innlogging og nettbrukernes kontoer i fare; Den 26. februar 2014 lekket WeChats sensitive informasjon sårbarhet, noe som førte til at et stort antall brukervideoer ble lekket, og effekten var sammenlignbar med XX gate......

En rekke lekkasjer har gjort Wuyun.com og dette opprinnelig ukjente nettstedet berømt. Selv om folk stiller spørsmål ved den uansvarlige innsatsen til relevante selskaper, er de også fulle av spørsmål om Wuyun.com: Hva slags plattform er dette, og hvorfor kan den avdekke sårbarhetene til store selskaper i flere perioder? Hvor mange hemmeligheter finnes det bak de mørke skyene?

Bak de mørke skyene

WooYun ble grunnlagt i mai 2010, og hovedgrunnleggeren er Fang Xiaodun, en tidligere sikkerhetsekspert hos Baidu, en kjent innenlandsk hacker "Jianxin" født i 1987, som deltok i Hunan Satellite TVs program "Every Day Upward" sammen med Robin Li i februar 2010, og ble kjent fordi kjæresten hans sang en sang. Siden den gang har Fang Xiaodun slått seg sammen med flere personer i sikkerhetsmiljøet for å etablere Wuyun.com, med mål om å bli en «fri og likestilt» plattform for sårbarhetsrapportering.

I Baidu-leksikonet beskriver Wuyun seg selv slik: en plattform for tilbakemelding på sikkerhetsspørsmål plassert mellom produsenter og sikkerhetsforskere, som tilbyr en plattform for offentlig velferd, læring, kommunikasjon og forskning for internettsikkerhetsforskere, samtidig som tilbakemeldinger behandles og følger opp sikkerhetsspørsmål.

Selv om Wuyun har bygget sitt image som en tredjepartsorganisasjon for offentlig velferd for å vinne tilliten til hvite hatter og samfunnet. Etter verifisering er Wuyun.com imidlertid ikke en offentlig tredjepartsinstitusjon, men et rent privat selskap, og inntektene kommer fra reglene for sårbarhetsopplysninger.

For generelle sårbarheter er reglene for Wuyun.com som følger:

1. Etter at den hvite hatten har sendt inn sårbarheten og bestått gjennomgangen, vil Wuyun.com publisere et sammendrag av sårbarheten, inkludert sårbarhetstittel, leverandør involvert, sårbarhetstype og kort beskrivelse

2. Produsenten har en bekreftelsesperiode på 5 dager (hvis det ikke bekreftes innen 5 dager, vil det bli ignorert, men det vil ikke bli opplyst, og det vil bli direkte registrert i 2);

3. Avsløring til sikkerhetspartnere etter 3 dager med bekreftelse;

4. Opplyse til eksperter innen kjerne- og beslektede felt etter 10 dager;

5. Etter 20 dager vil det bli avslørt for vanlige hvite hatter;

6. Opplysning for praktikanter med hvite hatter etter 40 dager;

7. Tilgjengelig for publikum etter 90 dager;

Det er forstått at når noen sikkerhetstjenesteselskaper betaler en viss avgift for å Wuyun.com, kan de se alle sårbarhetene til sine tjenestekunder på forhånd, og er det lovlig å lekke sårbarhetsinformasjon til tjenesteselskapet uten kundens tillatelse? Det er verdt å nevne at sårbarhetstitlene publisert av Wuyun.com utelukkende stammer fra white hat-innsendinger, uten noen gjennomgang eller endring, og skremmende titler som «kan føre til fallet av mer enn 1 000 servere» og «nesten 10 millioner brukerdata er i fare for lekkasje» florerer.

Forfatteren lærte noen historier fra en venn som har jobbet i sikkerhetsbransjen i mange år:

1. Fra begynnelsen av skal eksistensen av mørke skyer vekke alles oppmerksomhet mot sikkerhet, noe som utvilsomt er viktig.

2. I utviklingsprosessen finnes det visse forskjeller i de mørke skyene, som kan stamme fra inkonsistens i verdiorienteringen til innsidere; Det kan være et bildenavn, eller en fortjeneste, eller en filmberømmelse og rikdom;

3. Denne uenigheten gjør sårbarhetsopplysningen til en slagsForkledd tvang (chips), og ble til og med et kolosseum for PK sammen;

4. I prosessen fra 2 til 3 godtok de tilsvarende bransjemyndighetene (tilsyn) mer eller mindre eksistensen av mørke skyer.

Avsløringen av sårbarheter er enda mer som et karneval

I allmennhetens sinn er mysterium og fare synonymt med hacking. Men i hackerverdenen klassifiseres alle hackere hovedsakelig i to typer: hvite hatter og svarte hatter, de som er villige til å annonsere sårbarheter til bedrifter og ikke ondsinnet utnytter dem, er hvite hatter, mens svarte hatter livnærer seg ved å stjele informasjon for profitt.

"Selv om Wuyun har en konfidensialitetsperiode for å avsløre sårbarheter, trenger jeg faktisk ikke å se på detaljene rundt sårbarheten. Enhver erfaren hacker kan teste den målrettet så lenge han leser sårbarhetens tittel og beskrivelse, så i de fleste tilfeller, når sårbarheten er kunngjort, er det ikke vanskelig å få detaljene om sårbarheten så raskt som mulig. Z, et medlem av hacker-sirkelen som har sendt inn dusinvis av sårbarheter i Wuyun, sa til forfatteren: «Faktisk er det du ser det vi spiller. ”

Oppdageren av Ctrips sårbarhet, «Pig Man», er den høyest rangerte hvite hatten i den mørke skyen, med så mange som 125 sårbarheter utgitt. På kvelden 22. mars offentliggjorde Pigman to alvorlige sikkerhetssårbarheter om Ctrip på rad, og i Pigmans tidligere rekord har han offentliggjort sårbarheter i mange kjente selskaper, inkludert Tencent, Alibaba, NetEase, Youku og Lenovo, og er en ekte hacker. Når det gjelder hvem "Pig Man" er, ønsket ikke Z å si mer, og avslørte bare for forfatteren at Pig Man faktisk var en insider i Wuyun.com.

En utopi for hackere

"Fordi uautorisert svart boks-sikkerhetstesting er ulovlig, er det populært i kretsen at hackere hacker nettsider for å stjele informasjon, og til slutt, så lenge de sender sårbarheter til produsenter på Wuyun.com, kan de hvitvaskes."

Z viste også forfatteren et privat forum på Wuyun.com, som kun kan nås med godkjente white hats. Forfatteren fant i dette hemmelige forumet at det finnes spesielle diskusjonsseksjoner om temaer som svart industri, nettbasert inntekt og cyberkriger. I artikkelen "Revealing Wuyun.com" utgitt av Sina Technology i desember 2013, ble Wuyun.com stilt spørsmål ved som "Kinas største hackertreningsbase", som vist i figuren nedenfor:

Lignende temaer florerer i forumet, og mange hvite hatter har forvandlet seg til et drivhus for å diskutere utnyttelsesteknikker, hvordan man kan bruke disse smutthullene til å drive svart industri, og å bevege seg i lovens gråsoner.

Vil sikkerhetsbrudd bli det mest kraftfulle PR-våpenet i internettalderen?

Med den raske utviklingen av Internett blir også den innenlandske underjordiske svarte industrikjeden stadig større, og sikkerhetssårbarheter truer virkelig alles faktiske interesser.

Etter at Alipay/Yuebaos vilkårlige innloggingshull ble avslørt 17. februar 2014, angrep Alibaba PR raskt og tok ut en kontantbelønning på 5 millioner yuan for å dekke opinionen. Siden den gang har det vært endeløse PR-utkast om den dårlige sikkerheten til WeChat Pay og Alipays gjensidige ansvar. I sikkerhetens navn ligger bak dette forbud og anti-forbud mot internett-forretningskrigen, svart PR og anti-svarte hendelser, som tilspisser seg, og Wuyun.com har spilt en rolle i å fremme dette.

I lys av den enestående sosiale bekymringen som de kontinuerlige sikkerhetshendelsene Wuyun.com har avslørt, har noen eksperter nylig begynt å stille spørsmål ved om Wuyun.com regler for sårbarhetsopplysning er lovlige: mediene rapporterer som gale basert på sårbarhetstitler og korte beskrivelser publisert av Wuyun. Så hvis noen bevisst publiserer falske smutthull, vil det uunngåelig få svært dårlig innvirkning på virksomheten, hvem skal bære dette ansvaret? Er et privat selskap som har så mange sikkerhetssårbarheter og bruker sårbarhetsopplysning som forretningsmodell, selv på vei inn i lovens gråsoner?

I sitt utkast RFC2026 Responsible Vulnerability Disclosure Process nevner Internet Working Group at «journalister bør sikre at sårbarhetene er ekte.» "Men når sårbarheten slippes på Wuyun.com og bekreftes av Enterprise, kan ikke sårbarhetens ekthet og nøyaktighet fastslås. Ansvarlig offentliggjøring av sikkerhetssårbarheter bør være grundig, og enhver teknisk arbeider som finner en sårbarhet bør tydelig oppgi omfanget av sårbarhetens virkning, for å unngå unødvendig offentlig panikk, som denne Ctrip-kredittkortdøren, selv om Wuyun.com er engstelig for medieeksponering og hype på grunn av egne behov, men det bør også forklare om den lekkede informasjonen er kryptert og hva omfanget av konsekvensene er, i stedet for å bli en såkalt «headline party» og holde virksomheter som gisler i sikkerhetens navn.

Avsløring av sikkerhetssårbarheter er nødvendig, noe som ikke bare er ansvarlig for brukerne, men også for tilsyn med virksomhetens sikkerhet, men hvordan man virkelig oppnår ansvarlig sårbarhetsopplysning er verdt å tenke på.