Qual é a origem das nuvens escuras que surgiram do Ctrip e de outros vazamentos?

Às 18h do dia 23 de março de 2014, a plataforma de vulnerabilidade de Wuyun (Wuyun.com) foi expostaCtripA interface do servidor de pagamento seguro possui uma função de depuração que pode salvar os registros de pagamento do usuário, incluindo o nome do titular do cartão, cartão de identidade, número do cartão bancário, código CVV do cartão, caixa de 6 dígitos do cartão e outras informações. Devido ao vazamento de informações financeiras pessoais, isso despertou grande preocupação de todos os setores da vida, e outros meios de comunicação se apressaram em noticiá-lo, havendo opiniões diferentes.

É indubitavelmente errado e estúpido armazenar informações sensíveis de usuários nos logs do Ctrip, e quando a opinião pública colocou o Ctrip em destaque, o autor teve uma forte curiosidade sobre Wuyun.com. Olhando para a história das revelações de vulnerabilidade da Wuyun.com, é chocante:

10 de outubro de 2013,Como em casae outras informações vazadas sobre a abertura de quartos de hotel; 20 de novembro,Tencent70 milhõesQQOs dados dos usuários do grupo foram acusados de vazamento; 26 de novembro,360Vulnerabilidades na alteração de senhas por usuários arbitrários; Em 17 de fevereiro de 2014, vulnerabilidade arbitrária de login Alipay/Yuebao, as contas dos internautas estavam em risco; Em 26 de fevereiro de 2014, informações sensíveis do WeChat vazaram vulnerabilidade, resultando em um grande número de vídeos de usuários vazados, e o impacto foi comparável ao do XX gate......

Uma série de vazamentos tornou Wuyun.com e este site originalmente desconhecido famosos. Enquanto as pessoas questionam o desempenho irresponsável das empresas relevantes, também estão cheias de dúvidas sobre Wuyun.com: Que tipo de plataforma é essa e por que ela pode expor as vulnerabilidades de grandes empresas em várias ocasiões? Quantos segredos existem por trás das nuvens escuras?

Por trás das nuvens escuras

WooYun foi fundada em maio de 2010, e o principal fundador é Fang Xiaodun, ex-especialista em segurança da Baidu, conhecido hacker doméstico chamado "Jianxin" nascido em 1987, que participou do programa "Every Day Upward" da Hunan Satellite TV com Robin Li em fevereiro de 2010, e ficou conhecido porque sua namorada cantou uma música. Desde então, a Fang Xiaodun uniu forças com várias pessoas da comunidade de segurança para estabelecer Wuyun.com, com o objetivo de se tornar uma plataforma de reportagem de vulnerabilidades "livre e igualitária".

Na Baidu Encyclopedia, a Wuyun se descreve da seguinte forma: uma plataforma de feedback de questões de segurança localizada entre fabricantes e pesquisadores de segurança, oferecendo uma plataforma para bem-estar público, aprendizado, comunicação e pesquisa para pesquisadores de segurança na Internet, enquanto processa feedback e acompanha questões de segurança.

Embora Wuyun tenha construído sua imagem como uma organização terceirizada para o bem-estar público para conquistar a confiança dos "white hats" e da sociedade. No entanto, após verificação, Wuyun.com não é uma instituição pública terceirizada, mas uma empresa puramente privada, e sua receita vem de suas regras de divulgação de vulnerabilidades.

Para vulnerabilidades gerais, as regras de Wuyun.com são as seguintes:

1. Após o white hat submeter a vulnerabilidade e passar na revisão, Wuyun.com publicará um resumo da vulnerabilidade, incluindo o título da vulnerabilidade, fornecedor envolvido, tipo de vulnerabilidade e breve descrição

2. O fabricante tem um período de confirmação de 5 dias (se não for confirmado em até 5 dias, será ignorado, mas não será divulgado e será inserido diretamente em 2);

3. Divulgação aos parceiros de segurança após 3 dias após a confirmação;

4. Divulgar a especialistas em áreas centrais e relacionadas após 10 dias;

5. Após 20 dias, será divulgado aos oficiais brancos comuns;

6. Divulgação aos estagiários brancos após 40 dias;

7. Disponível ao público após 90 dias;

Entende-se que, quando algumas empresas de serviços de segurança pagam uma certa taxa para Wuyun.com, elas podem ver todas as vulnerabilidades de seus clientes de serviço antecipadamente, e é legal vazar informações de vulnerabilidade para a empresa sem a permissão do cliente? Vale mencionar que os títulos de vulnerabilidade publicados pela Wuyun.com são inteiramente de submissões white hat, sem qualquer revisão ou modificação, e títulos intimidadores como "podem levar à queda de mais de 1.000 servidores" e "quase 10 milhões de dados de usuários estão em risco de vazamento" abundam.

O autor aprendeu algumas histórias de um amigo que trabalha na indústria de segurança há muitos anos:

1. Desde o início, a existência de nuvens escuras visa despertar a atenção de todas as partes para a segurança, o que é, sem dúvida, importante.

2. No processo de desenvolvimento, existem certas diferenças nas nuvens escuras, que podem decorrer da inconsistência na orientação de valor dos insiders; Pode haver um nome de imagem, ou um lucro, ou um quadro de fama e fortuna;

3. Esse desacordo torna sua divulgação de vulnerabilidade um tipoCoerção disfarçada (chips), e até se tornaram um coliseu para PK juntos;

4. No processo de 2 a 3, as autoridades industriais correspondentes (supervisão) mais ou menos concordaram (apoiaram) a existência de nuvens escuras.

A revelação de vulnerabilidades é ainda mais um carnaval

Na mente do público em geral, mistério e perigo são sinônimos de hacking. No entanto, no mundo dos hackers, todos os hackers são principalmente classificados em dois tipos: white hats e black hats; aqueles que estão dispostos a denunciar vulnerabilidades para empresas e não exploram vulnerabilidades de forma maliciosa são white hats, enquanto black hats vivem roubando informações para lucro.

"Embora Wuyun tenha um período de confidencialidade para a divulgação de vulnerabilidades, na verdade, não preciso olhar os detalhes da vulnerabilidade. Qualquer hacker experiente pode testá-la de forma direcionada, desde que leia o título e a descrição da vulnerabilidade, então, na maioria dos casos, uma vez anunciada a vulnerabilidade, não é difícil obter os detalhes da vulnerabilidade o mais rápido possível. Z, um membro do círculo hacker que já apresentou dezenas de vulnerabilidades em Wuyun, disse ao autor: "Na verdade, o que você vê é o que jogamos. ”

O descobridor da vulnerabilidade de Ctrip, "Pig Man", é o white hat de maior patente na nuvem negra, com até 125 vulnerabilidades liberadas. Na noite de 22 de março, Pigman divulgou duas vulnerabilidades sérias de segurança sobre o Ctrip consecutivas e, no histórico anterior de Pigman, ele divulgou vulnerabilidades de várias empresas conhecidas, incluindo Tencent, Alibaba, NetEase, Youku e Lenovo, sendo um verdadeiro hacker. Sobre quem é o "Pig Man", Z não quis dizer mais nada, apenas revelou ao autor que o Pig Man era, na verdade, um insider de Wuyun.com.

Uma utopia para hackers

"Como testes de segurança não autorizados em caixa-preta são ilegais, é comum no meio que hackers invadam sites para roubar informações e, finalmente, enquanto enviarem vulnerabilidades aos fabricantes em Wuyun.com, podem ser branqueados."

Z também mostrou ao autor um fórum privado sobre Wuyun.com, que só pode ser acessado por white hats verificados. O autor descobriu neste fórum secreto que há seções especiais de discussão sobre temas como indústria negra, ganhos online e guerras cibernéticas. No artigo "Revealing Wuyun.com" divulgado pela Sina Technology em dezembro de 2013, Wuyun.com foi questionado como "a maior base de treinamento de hackers da China", como mostrado na figura abaixo:

Temas semelhantes abundam no fórum, e muitos 'white hats' se transformaram em estufas para discutir técnicas de exploração, como usar essas brechas para fazer a indústria negra e vagar pela área cinzenta da lei.

Será que as violações de segurança se tornarão a arma de relações públicas mais poderosa na era da Internet?

Com o rápido desenvolvimento da Internet, a cadeia subterrânea doméstica da indústria negra também está se tornando cada vez maior, e vulnerabilidades de segurança realmente ameaçam os interesses reais de todos.

Após a brecha arbitrária de login Alipay/Yuebao ser exposta em 17 de fevereiro de 2014, a Alibaba PR rapidamente atacou e descontou uma recompensa em dinheiro de 5 milhões de yuans para cobrir a opinião pública. Desde então, houve inúmeras discussões de relações públicas sobre a baixa segurança do WeChat Pay e as responsabilidades mútuas da Alipay. Em nome da segurança, por trás disso está a proibição e o anti-banimento da guerra empresarial da Internet, as relações públicas negras e incidentes anti-negros, que estão se intensificando, e Wuyun.com desempenhou um papel em alimentá-los.

Diante da preocupação social sem precedentes causada pelos contínuos incidentes de segurança divulgados pela Wuyun.com, alguns especialistas recentemente começaram a questionar se as regras de divulgação de vulnerabilidades da Wuyun.com são legais: a mídia relata uma loucura com base nos títulos e breves descrições de vulnerabilidades publicados por Wuyun. Então, se alguém deliberadamente publica falsas brechas, isso certamente causará um impacto muito ruim na empresa, quem assumirá essa responsabilidade? Será que uma empresa privada que tem tantas vulnerabilidades de segurança e usa a divulgação de vulnerabilidades como modelo de negócio, está pisando na área cinzenta da lei?

Em seu rascunho RFC2026 Processo Responsável de Divulgação de Vulnerabilidades, o Grupo de Trabalho da Internet menciona que "os repórteres devem garantir que as vulnerabilidades sejam genuínas." "No entanto, quando a vulnerabilidade é liberada em Wuyun.com e confirmada pela empresa, a autenticidade e precisão da vulnerabilidade não podem ser conhecidas. A divulgação responsável de vulnerabilidades de segurança deve ser rigorosa, e qualquer técnico que encontrar uma vulnerabilidade deve declarar claramente o alcance do impacto da vulnerabilidade, para não causar pânico público desnecessário, como essa porta do cartão de crédito Ctrip, mesmo que Wuyun.com esteja ansioso por exposição e hype da mídia por suas próprias necessidades, mas também deve explicar se a informação vazada é criptografada e qual é o alcance do impacto, em vez de se tornar uma chamada "festa principal" e manter empresas reféns em nome da segurança.

A divulgação de vulnerabilidades de segurança é necessária, o que não é apenas responsável pelos usuários, mas também pela supervisão da segurança corporativa, mas como realmente alcançar uma divulgação responsável de vulnerabilidades vale a pena refletir.