|
O godzinie 18:00, 23 marca 2014 roku, platforma podatności Wuyun (Wuyun.com) została ujawnionaCtripInterfejs bezpiecznego serwera płatności posiada funkcję debugowania, która pozwala zapisać dane płatności użytkownika, w tym imię i nazwisko posiadacza karty, kartę osobistą, numer karty bankowej, kod CVV karty, 6-cyfrowy pojemnik na kartę oraz inne informacje. Z powodu wycieku danych finansowych wywołało to silne zaniepokojenie ze wszystkich środowisk, a inne media natychmiast o tym informowały, co daje różne opinie. Bez wątpienia przechowywanie wrażliwych informacji użytkowników w logach Ctripa jest niewłaściwe i głupie, a gdy opinia publiczna wysunęła Ctripa na pierwszy plan, autor był bardzo ciekawy Wuyun.com. Patrząc na historię ujawnień podatności Wuyun.com, jest to szokujące: 10 października 2013,Jak w domuoraz wyciek innych informacji o otwarciu pokoi hotelowych; 20 listopada,Tencent70 milionówQQDane użytkowników grupy zostały oskarżone o wyciek; 26 listopada,360Podatności na zmianę haseł przez dowolnych użytkowników; 17 lutego 2014 roku arbitralna podatność na logowanie Alipay/Yuebao, konta internaturowiczów były zagrożone; 26 lutego 2014 roku wrażliwe informacje WeChat ujawniły lukę, co spowodowało wyciek dużej liczby filmów użytkowników, a ich skutki były porównywalne z XX gate...... Seria przecieków sprawiła, że Wuyun.com i ta wcześniej nieznana strona stały się sławne. Podczas gdy ludzie kwestionują nieodpowiedzialne wyniki odpowiednich firm, są też pełne pytań o Wuyun.com: Jaki to rodzaj platformy i dlaczego może ujawniać słabości dużych firm w ciągu kilku razy? Ile sekretów kryje się za ciemnymi chmurami? Za ciemnymi chmurami WooYun zostało założone w maju 2010 roku, a głównym założycielem jest Fang Xiaodun, były ekspert ds. bezpieczeństwa w Baidu, znany domowy haker "Jianxin" urodzony w 1987 roku, który uczestniczył w programie Hunan Satellite TV "Every Day Upward" z Robin Li w lutym 2010 roku i stał się znany dzięki temu, że jego dziewczyna zaśpiewała piosenkę. Od tego czasu Fang Xiaodun połączył siły z kilkoma osobami ze środowiska bezpieczeństwa, aby utworzyć Wuyun.com, z zamiarem stania się "wolną i równą" platformą do zgłaszania podatności. W Baidu Encyclopedia Wuyun opisuje siebie następująco: platformę do informacji zwrotnej dotyczących kwestii bezpieczeństwa, zlokalizowaną między producentami a badaczami bezpieczeństwa, zapewniającą platformę do dobrobytu publicznego, nauki, komunikacji i badań dla badaczy bezpieczeństwa internetowego, jednocześnie przetwarzając informacje zwrotne i monitorując kwestie bezpieczeństwa. Chociaż Wuyun zbudował swój wizerunek jako organizacja trzeciej partii na rzecz dobra publicznego, aby zdobyć zaufanie białych kapelusz i społeczeństwa. Jednak po weryfikacji nie Wuyun.com jest instytucją publiczną podmiotu trzeciego, lecz czysto prywatną firmą, a jej dochody pochodzą z zasad ujawniania podatności. Dla ogólnych podatności zasady Wuyun.com są następujące: 1. Po złożeniu podatności i przejściu przeglądu przez biały kapelusz opublikuje podsumowanie podatności Wuyun.com, w tym tytuł podatności, zaangażowanego dostawcę, typ podatności oraz krótki opis 2. Producent ma 5-dniowy okres potwierdzenia (jeśli nie zostanie potwierdzony w ciągu 5 dni, zostanie zignorowany, ale nie zostanie ujawniony i zostanie wpisany bezpośrednio do 2); 3. Ujawnienie partnerom ds. bezpieczeństwa po 3 dniach od potwierdzenia; 4. Ujawnienie ekspertom w kluczowych i pokrewnych dziedzinach po 10 dniach; 5. Po 20 dniach zostanie ujawniony zwykłym białym kapeluszom; 6. Ujawnienie informacji dla stażystów białych kapelusz po 40 dniach; 7. Dostępne dla publiczności po 90 dniach; Wiadomo, że gdy niektóre firmy świadczące usługi bezpieczeństwa płacą określoną opłatę Wuyun.com, mogą z wyprzedzeniem zobaczyć wszystkie luki swoich klientów i czy legalne jest przekazywanie informacji o podatnościach firmie serwisowej bez zgody klienta? Warto wspomnieć, że tytuły o podatnościach publikowane przez Wuyun.com pochodzą wyłącznie z białych zgłoszeń, bez żadnej weryfikacji i modyfikacji, a onieśmielające tytuły takie jak "mogą doprowadzić do upadku ponad 1000 serwerów" oraz "prawie 10 milionów danych użytkowników jest zagrożonych wyciekiem" jest powszechne. Autor poznał kilka historii od przyjaciela, który od wielu lat pracuje w branży bezpieczeństwa: 1. Od samego początku istnienie ciemnych chmur ma na celu zwrócenie uwagi wszystkich stron na bezpieczeństwo, co jest niewątpliwie ważne. 2. W procesie rozwoju występują pewne różnice w ciemnych chmurach, które mogą wynikać z niespójności orientacji wartości insiderów; Może być imię zdjęcia, zysk lub sława i fortuna; 3. Ten spór sprawia, że ujawnienie podatności jest rodzajemUkryte przymusowe (chipy), a nawet stały się koloseum PK we własnym związku; 4. W procesie od 2 do 3 odpowiednie organy branżowe (nadzor) mniej więcej akceptowały (wspierały) istnienie ciemnych chmur. Ujawnianie słabości to jeszcze bardziej karnawał W świadomości ogółu społeczeństwa tajemnica i niebezpieczeństwo są synonimami hakowania. Jednak w świecie hakerów wszyscy hakerzy dzielą się głównie na dwa typy: białych i czarnych kapeluszy; ci, którzy są gotowi zgłaszać podatności przedsiębiorstwom i nie wykorzystują ich złośliwie, są białymi kapeluszami, podczas gdy czarni kapelusze zarabiają na życie kradzieżą informacji dla zysku. "Chociaż Wuyun ma okres poufności ujawniania luk, w rzeczywistości nie muszę zaglądać do szczegółów tej podatności. Każdy doświadczony haker może przetestować ją celownie, o ile przeczyta tytuł i opis podatności, więc w większości przypadków, gdy luka zostanie ogłoszona, nie jest trudno jak najszybciej uzyskać szczegóły podatności. Z, członek kręgu hakerów, który zgłosił dziesiątki luk w Wuyun, powiedział autorowi: "W rzeczywistości to, co widzisz, to to, co gramy. ” Odkrywca słabości Ctripa, "Człowiek-Świnka", jest najwyżej postawionym białym kapeluszem w ciemnej chmurze, z nawet 125 ujawnionymi lukami. Wieczorem 22 marca Pigman opublikował dwie poważne luki bezpieczeństwa dotyczące Ctripa z rzędu, a w jego poprzednich dorobkach ujawnił luki wielu znanych firm, w tym Tencent, Alibaba, NetEase, Youku i Lenovo, i jest prawdziwym hakerem. Jeśli chodzi o to, kim jest "Pig Man", Z nie chciał mówić więcej, jedynie ujawniając autorowi, że Pig Man był tak naprawdę insiderem Wuyun.com. Utopia dla hakerów "Ponieważ nieautoryzowane testy bezpieczeństwa czarnej skrzynki są nielegalne, popularne jest w środowisku, że hakerzy hakują strony, by kraść informacje, a w końcu, dopóki zgłaszają podatności producentom na Wuyun.com, można je wybielić." Z pokazał też autorowi prywatne forum na Wuyun.com, do którego dostęp mają tylko sprawdzeni white hats. Autor odkrył na tym tajnym forum specjalne sekcje dyskusyjne na tematy takie jak przemysł, zarabianie online i wojny cybernetyczne. W artykule "Revealing Wuyun.com" opublikowanym przez Sina Technology w grudniu 2013 roku Wuyun.com został podważony jako "największa chińska baza szkoleniowa hakerów", co pokazano na poniższym rysunku: Podobne tematy pojawiają się na forum, a wielu białych kapeluszy przekształciło się w szklarnię, by dyskutować o technikach wyzysku, o tym, jak wykorzystać te luki prawne do prowadzenia czarnego przemysłu, oraz wandrować w szarą strefę prawa. Czy naruszenia bezpieczeństwa staną się najpotężniejszą bronią public relations w erze Internetu? Wraz z szybkim rozwojem Internetu, krajowy podziemny łańcuch czarnego przemysłu staje się coraz większy, a luki bezpieczeństwa naprawdę zagrażają rzeczywistym interesom wszystkich. Po ujawnieniu arbitralnej luki logowania Alipay/Yuebao 17 lutego 2014 roku, Alibaba PR szybko zaatakowała i wypłaciła nagrodę pieniężną w wysokości 5 milionów juanów, aby przykryć opinię publiczną. Od tego czasu pojawiły się niekończące się projekty PR dotyczące słabego bezpieczeństwa WeChat Pay i wzajemnych obowiązków Alipay. W imię bezpieczeństwa stoi za tym zakaz i antybanowanie wojny biznesu internetowego, czarnych incydentów public relations i antyczarnych incydentów, które nasilają się, a Wuyun.com odegrało rolę w ich podsycaniu. W obliczu bezprecedensowego zagrożenia społecznego spowodowanego ciągłymi incydentami bezpieczeństwa ujawnianymi przez Wuyun.com, niektórzy eksperci ostatnio zaczęli kwestionować, czy zasady ujawniania podatności Wuyun.com są legalne: media donoszą o szalonych informacjach na podstawie tytułów podatności i krótkich opisów publikowanych przez Wuyun. Więc jeśli ktoś celowo publikuje fałszywe luki, z pewnością wywoła to bardzo zły wpływ na przedsiębiorstwo – kto poniesie tę odpowiedzialność? Czy prywatna firma, która ma tak wiele luk w zabezpieczeniach i wykorzystuje ujawnianie ich jako model biznesowy, sama wkracza w szarą strefę prawa? W swoim projekcie RFC2026 Odpowiedzialnym procesie ujawniania luk Internet Working Group wspomina, że "reporterzy powinni zapewnić, że podatności są autentyczne." "Jednak gdy luka zostaje ujawniona na Wuyun.com i potwierdzona przez Enterprise, autentyczność i dokładność tej luki nie mogą być znane. Odpowiedzialne ujawnianie luk bezpieczeństwa powinno być rygorystyczne, a każdy pracownik techniczny, który znajdzie lukę, powinien jasno określić zakres jej skutku, aby nie wywołać niepotrzebnej paniki społecznej, takiej jak drzwi karty kredytowej Ctrip, nawet jeśli Wuyun.com zależy na medialnej ekspozycji i szumie ze względu na własne potrzeby, ale także wyjaśnić, czy wyciek informacji jest szyfrowany i jaki jest ich skutek, zamiast stać się tzw. "imprezą nagłówków" i trzymać przedsiębiorstwa jako zakładników w imię bezpieczeństwa. Ujawnienie luk bezpieczeństwa jest konieczne, co nie tylko odpowiada użytkownikom, ale także nadzoruje bezpieczeństwo przedsiębiorstwa, ale warto też się zastanowić, jak naprawdę osiągnąć odpowiedzialne ujawnianie luk.
| 
Opublikowano 26.09.2015 16:41:22
|
|
|
|
