|
В 18:00 23 марта 2014 года была раскрыта платформа уязвимостей Wuyun (Wuyun.com)КтрипИнтерфейс защищённого платежного сервера имеет функцию отладки, которая позволяет сохранять платёжные записи пользователя, включая имя держателя, удостоверение личности, номер банковской карты, CVV-код карты, 6-значный контейнер карты и другую информацию. Из-за утечки личной финансовой информации это вызвало серьёзную обеспокоенность у всех слоёв общества, и другие СМИ поспешили об этом осветить, и существуют разные мнения. Несомненно, неправильно и глупо хранить конфиденциальную информацию пользователей в логах Трипа, и когда общественное мнение вывело Ктрипа на первый план, у автора возникло сильное любопытство к Wuyun.com. Если посмотреть на историю раскрытия уязвимостей Wuyun.com, это шокирует: 10 октября 2013 года,Как домаа также просочилась информация о открытии номеров отеля; 20 ноября,Tencent70 миллионовQQДанные пользователей группы были обвинены в утечке; 26 ноября,360Уязвимости при смене паролей произвольными пользователями; 17 февраля 2014 года из-за уязвимости произвольного входа Alipay/Yuebao аккаунты пользователей оказались под угрозой; 26 февраля 2014 года чувствительная информация WeChat просочилась уязвимостью, что привело к утечке большого количества пользовательских видео, и это влияние было сопоставимо с XX gate...... Серия утечек сделала Wuyun.com и этот изначально неизвестный сайт известными. Хотя люди ставят под сомнение безответственную работу соответствующих компаний, они также полны вопросов о Wuyun.com: Что это за платформа и почему она может раскрывать уязвимости крупных компаний в ряде случаев? Сколько секретов скрывается за тёмными тучами? За тёмными облаками WooYun была основана в мае 2010 года, а главным основателем является Фан Сяодун, бывший эксперт по безопасности в Baidu, известный отечественный хакер «Цзяньсин», родившийся в 1987 году, который участвовал в программе Hunan Satellite TV «Every Day Upward» вместе с Робином Ли в феврале 2010 года и стал известен благодаря тому, что его девушка исполнила песню. С тех пор Fang Xiaodun объединился с несколькими представителями сообщества безопасности, чтобы создать Wuyun.com с целью стать «свободной и равной» платформой для отчётов о уязвимостях. В Baidu Encyclopedia Wuyun описывает себя следующим образом: платформа обратной связи по вопросам безопасности, расположенная между производителями и исследователями безопасности, предоставляющая платформу для общественного благополучия, обучения, коммуникации и исследований для исследователей интернет-безопасности, одновременно обработку обратной связи и последующего контроля по вопросам безопасности. Хотя Вуюнь построил свой имидж третьей сторони ради общественного блага, чтобы завоевать доверие белых шляп и общества. Однако после проверки Wuyun.com не является публичным третьим учреждением, а полностью частной компанией, и её доход поступает от правил раскрытия уязвимостей. Для общих уязвимостей правила Wuyun.com следующие: 1. После того как белая шляпа отправит уязвимость и пройдёт проверку, Wuyun.com опубликует краткое описание уязвимости, включая название уязвимости, участвующего поставщика, тип уязвимости и краткое описание 2. У производителя есть 5-дневный период подтверждения (если он не будет подтверждён в течение 5 дней, он будет проигнорирован, но не будет раскрыт и будет внесен напрямую в 2 дня); 3. Раскрытие информации партнёрам по безопасности через 3 дня после подтверждения; 4. Сообщить об этом экспертам в основных и смежных областях через 10 дней; 5. Через 20 дней он будет раскрыт обычным белым шляпам; 6. Раскрытие информации стажёрам через 40 дней; 7. Доступно для публики через 90 дней; Понимается, что когда некоторые компании по охране безопасности платят определённую плату за Wuyun.com, они могут заранее увидеть все уязвимости своих клиентов, и законно ли передавать информацию об уязвимости сервисной компании без разрешения клиента? Стоит отметить, что опубликованные Wuyun.com заголовки об уязвимостях полностью основаны на «белых работах» без какого-либо проверки и изменений, а пугающие заголовки вроде «могут привести к падению более 1000 серверов» и «почти 10 миллионов пользовательских данных находятся под угрозой утечки». Автор узнал несколько историй от друга, который много лет работает в сфере безопасности: 1. С самого начала существование тёмных облаков должно привлечь внимание всех сторон к безопасности, что, несомненно, важно. 2. В процессе разработки существуют определённые различия в тёмных облаках, которые могут быть вызваны несогласованностью ориентации ценностей инсайдеров; Может быть имя фильма, прибыль или известность и состояние; 3. Это разногласие делает раскрытие уязвимости своего родаЗамаскированное принуждение (чипсы), и даже стал колизеем для PK друг с другом; 4. В процессе от 2 до 3 соответствующие отраслевые органы (надзор) в целом согласились (поддерживали) существование тёмных облаков. Раскрытие уязвимостей — это ещё больше карнавал В сознании широкой публики тайна и опасность — синонимы взлома. Однако в мире хакеров все хакеры в основном делятся на два типа: белые и чёрные шляпы; те, кто готов сообщать об уязвимостях предприятиям и не злонамеренно их эксплуатируют, — это белые шляпы, а чёрные шляпы зарабатывают на жизнь кражей информации ради прибыли. «Хотя у Вуюня есть период конфиденциальности для раскрытия уязвимостей, на самом деле мне не нужно рассматривать детали уязвимости. Любой опытный хакер может проверить её целенаправленно, если прочитает название и описание уязвимости, поэтому в большинстве случаев, после объявления о ней, несложно получить её детали как можно скорее. Z, член хакерского круга, который отправил десятки уязвимостей в Wuyun, сказал автору: «На самом деле, то, что вы видите — это то, что мы играем. ” Открытие уязвимости Трипа, «Человек-свинья», является самым высоко оценённым белым шляпой в тёмном облаке, с до 125 уязвимостями, раскрытыми до 125 уязвимостей. Вечером 22 марта Пигман подряд опубликовал две серьёзные уязвимости в безопасности Ctrip, а в предыдущем альбоме Пигмана он раскрыл уязвимости многих известных компаний, включая Tencent, Alibaba, NetEase, Youku и Lenovo, и является настоящим хакером. Что касается того, кто такой «Человек-Свинья», З не захотел говорить больше, лишь рассказал автору, что Человек-Свинья на самом деле был инсайдером Wuyun.com. Утопия для хакеров «Поскольку несанкционированное тестирование безопасности в чёрном ящике незаконно, в кругу популярно взламывать сайты, чтобы украсть информацию, и, наконец, если они отправляют уязвимости производителям на Wuyun.com, их можно отбелить.» Z также показал автору приватный форум на Wuyun.com, к которому доступны только проверенные белые шляпы. Автор обнаружил, что на этом секретном форуме есть специальные разделы для обсуждения на такие темы, как чёрная индустрия, онлайн-доход и кибервойны. В статье «Раскрытие Wuyun.com», опубликованной Sina Technology в декабре 2013 года, Wuyun.com был поставлен под сомнение как «крупнейшая база подготовки хакеров в Китае», как показано на рисунке ниже: Похожие темы много на форуме, и многие представители превратились в теплицу для обсуждения методов эксплуатации, как использовать эти лазейки для чёрной индустрии и блуждать в серой зоне закона. Станут ли утечки безопасности самым мощным пиар-оружием в эпоху Интернета? С быстрым развитием Интернета внутренняя подпольная черная индустрия также становится всё более масштабной, и уязвимости безопасности действительно угрожают реальным интересам всех. После того как 17 февраля 2014 года была раскрыта произвольная лазейка Alipay/Yuebao, PR Alibaba быстро атаковала и вывела денежное вознаграждение в размере 5 миллионов юаней, чтобы покрыть общественное мнение. С тех пор появлялось бесконечное количество пиар-проектов о плохой безопасности WeChat Pay и взаимных обязанностей Alipay. Во имя безопасности за ней стоит запрет и противодействие интернет-бизнес-войне, связи с чёрной общественностью и античерные инциденты, которые усиливаются, и Wuyun.com сыграл роль в их разжигании. Учитывая беспрецедентную социальную озабоченность, вызванную постоянными инцидентами с безопасностью, раскрытыми Wuyun.com, некоторые эксперты недавно начали сомневаться, законны ли правила раскрытия уязвимостей Wuyun.com: СМИ сумасшедшие сообщения, основанные на названиях уязвимостей и кратких описаниях, опубликованных Вуюнем. Так что если кто-то сознательно публикует ложные лазейки, это обязательно нанесёт очень плохое влияние на предприятие, кто возьмёт на себя эту ответственность? Является ли частная компания с множеством уязвимостей безопасности и использующей раскрытие уязвимостей в качестве бизнес-модели, сама по себе наступает на серую зону закона? В своём проекте RFC2026 процесса ответственного раскрытия уязвимостей рабочая группа в Интернете отмечает, что «журналисты должны гарантировать, что уязвимости подлинны». «Однако, когда уязвимость будет опубликована на Wuyun.com и подтверждена предприятием, её подлинность и точность не могут быть известны. Ответственное раскрытие уязвимостей должно быть строгим, и любой технический работник, обнаруживший уязвимость, должен чётко указать масштаб её воздействия, чтобы не вызвать ненужную панику у публики, как эта дверь с кредитной картой Ctrip, даже если Wuyun.com опасается медийного освещения и ажиотажа из-за собственных нужд, но также должно объяснить, зашифрована ли утечка информация и каков масштаб воздействия, а не превращаться в так называемую «главную сторону» и держать предприятия в заложниках под предлогом безопасности. Раскрытие уязвимостей безопасности необходимо, что несёт ответственность не только за пользователей, но и за контроль корпоративной безопасности, но заслуживает размышлений о том, как действительно достичь ответственного раскрытия уязвимостей.
| 
Опубликовано 26.09.2015 16:41:22
|
|
|
|
