Яке походження темних хмар, що вирвалися з Ctrip та інших витоків?

О 18:00 23 березня 2014 року платформа вразливостей Wuyun (Wuyun.com) була розкритаКтріпІнтерфейс захищеного платіжного сервера має функцію налагодження, яка дозволяє зберігати платіжні записи користувача, включаючи ім'я власника картки, ID картку, номер банківської картки, CVV-код картки, 6-значний контейнер картки та іншу інформацію. Через витік особистої фінансової інформації це викликало сильне занепокоєння з усіх верств суспільства, інші ЗМІ поспішили про це повідомити, і існують різні думки.

Без сумніву, неправильно і нерозумно зберігати конфіденційну інформацію користувачів у журналах Ctrip, і коли громадська думка вивела Ctrip на передній план, автор проявив сильну цікавість до Wuyun.com. Дивлячись на історію розкриття вразливостей Wuyun.com, це шокує:

10 жовтня 2013 року,Як дімта інша інформація про відкриття готельних номерів просочилася; 20 листопада,Tencent70 мільйонівQQДані користувачів групи були звинувачені у витоках; 26 листопада,360Вразливості при зміні паролів довільними користувачами; 17 лютого 2014 року вразливість довільного входу Alipay/Yuebao опинилася під загрозою акаунти користувачів мережі; 26 лютого 2014 року конфіденційна інформація WeChat виточила вразливість, що призвело до витоку великої кількості відео користувачів, а вплив був порівнянний з XX gate......

Серія витоків зробила Wuyun.com та цей спочатку невідомий сайт відомими. Хоча люди ставлять під сумнів безвідповідальну роботу відповідних компаній, вони також сповнені питань щодо Wuyun.com: Що це за платформа і чому вона може виявляти вразливості великих компаній у низці випадків? Скільки таємниць за темними хмарами?

За темними хмарами

WooYun була заснована у травні 2010 року, а головним засновником є Фан Сяодун, колишній експерт з безпеки Baidu, відомий вітчизняний хакер «Цзяньсінь», народжений у 1987 році, який брав участь у програмі Hunan Satellite TV «Every Day Upward» разом із Робін Лі у лютому 2010 року і став відомим завдяки тому, що його дівчина заспівала пісню. Відтоді Fang Xiaodun об'єдналася з кількома представниками сфери безпеки, щоб створити Wuyun.com з метою стати «безкоштовною та рівноправною» платформою для звітування про вразливості.

У Baidu Encyclopedia Wuyun описує себе так: платформа зворотного зв'язку з питань безпеки, розташована між виробниками та дослідниками безпеки, яка забезпечує платформу для суспільного добробуту, навчання, комунікації та досліджень для дослідників інтернет-безпеки, одночасно обробляючи відгуки та слідуючи за питаннями безпеки.

Хоча Вуюнь створив свій імідж як третя сторона для громадського добробуту, щоб здобути довіру білих капелюхів і суспільства. Однак після перевірки Wuyun.com не є публічною третьою стороною, а суто приватною компанією, і її дохід надходить від правил розкриття вразливостей.

Для загальних вразливостей правила Wuyun.com такі:

1. Після того, як білий капелюх надішле вразливість і пройшов перевірку, Wuyun.com опублікує короткий опис вразливості, включно з назвою вразливості, залученим постачальником, типом вразливості та коротким описом

2. Виробник має 5-денний період підтвердження (якщо підтвердження не буде підтверджено протягом 5 днів, його ігнорують, але не розкривають, і він буде внесений безпосередньо у 2);

3. Розкриття інформації партнерам з безпеки після 3 днів підтвердження;

4. Повідомити експертам у основних та суміжних галузях через 10 днів;

5. Через 20 днів це буде розкрито звичайним білим капелюхам;

6. Розкриття інформації стажерам з білими капелюхами через 40 днів;

7. Доступна для публіки через 90 днів;

Зрозуміло, що коли деякі компанії з охоронних послуг сплачують певну плату за Wuyun.com, вони можуть заздалегідь бачити всі вразливості своїх клієнтів, і чи є законним передавати інформацію про вразливості сервісній компанії без дозволу клієнта? Варто зазначити, що вразливі назви, опубліковані Wuyun.com, походять виключно з white hat подань, без жодного перегляду та модифікації, а загрозливі назви на кшталт «можуть призвести до падіння понад 1 000 серверів» та «майже 10 мільйонів даних користувачів під загрозою витоку» широко поширені.

Автор дізнався кілька історій від друга, який багато років працює в сфері безпеки:

1. Від самого початку існування темних хмар має привернути увагу всіх сторін до безпеки, що, без сумніву, є важливим.

2. У процесі розробки існують певні відмінності в темних хмарах, які можуть виникати через непослідовність орієнтації цінностей інсайдерів; Може бути ім'я фільму, або прибуток, або слава та багатство;

3. Ця незгода робить розкриття вразливості свого родуПрихований примус (чіпси), і навіть став колізеєм для ПК один з одним;

4. У процесі з 2 до 3 відповідні галузеві органи (нагляд) більш-менш погодилися (підтримували) існування темних хмар.

Розкриття вразливостей — це ще більше карнавал

У свідомості широкої публіки таємниця і небезпека є синонімами хакерства. Однак у світі хакерів усі хакери здебільшого поділяються на два типи: білі капелюхи та чорні капелюхи; ті, хто готовий повідомляти про вразливості підприємствам і не зловісно їх експлуатувати, — це білі капелюхи, тоді як чорні капелюхи заробляють на життя, викрадаючи інформацію заради прибутку.

"Хоча у Вуюня є період конфіденційності для розкриття вразливостей, насправді мені не потрібно розглядати деталі цієї вразливості. Будь-який досвідчений хакер може перевірити це цілеспрямовано, якщо прочитає назву та опис вразливості, тож у більшості випадків, коли вразливость оголошується, отримати деталі вразливості не складно якомога швидше. Z, член хакерського кола, який подав десятки вразливостей у Wuyun, сказав автору: «Насправді, те, що ви бачите, — це те, що ми граємо. ”

Відкривач вразливості Тріпа, «Свиня-Людина», є найвищим за рейтингом білим капелюхом у темній хмарі, з оприлюдненими до 125 вразливостями. Увечері 22 березня Пігман поспіль оприлюднив дві серйозні вразливості щодо Ctrip, а в попередньому альбомі Пігмана він розкрив вразливості багатьох відомих компаній, зокрема Tencent, Alibaba, NetEase, Youku та Lenovo, і є справжнім хакером. Щодо того, хто такий «Свиня-Людина», З не захотіла розповідати більше, лише розкрила автору, що Свиня-Людина насправді була інсайдером Wuyun.com.

Утопія для хакерів

«Оскільки несанкціоноване тестування безпеки в чорній скриньці є незаконним, у колі популярно, що хакери зламують сайти, щоб викрасти інформацію, і нарешті, якщо вони надсилають вразливості виробникам на Wuyun.com, їх можна відбілити.»

Z також показав автору приватний форум на Wuyun.com, до якого доступні лише перевірені білі капелюхи. Автор виявив, що на цьому секретному форумі є спеціальні розділи для обговорення на теми, такі як чорна індустрія, онлайн-заробіток і кібервійни. У статті «Відкриття Wuyun.com», опублікованій компанією Sina Technology у грудні 2013 року, Wuyun.com ставили під сумнів як «найбільшу в Китаї базу навчання хакерів», як показано на рисунку нижче:

Подібні теми часто обговорюються на форумі, і багато представників «білих капелюшок» перетворилися на теплицю для обговорення методів експлуатації, як використати ці лазівки для чорної індустрії, і блукати в сірій зоні закону.

Чи стануть порушення безпеки найпотужнішою зброєю у сфері зв'язків з громадськістю в епоху Інтернету?

Зі стрімким розвитком Інтернету підпільна чорна індустрія також стає дедалі більшою, а вразливості безпеки справді загрожують реальним інтересам усіх.

Після того, як 17 лютого 2014 року була розкрита довільна лазівка для входу Alipay/Yuebao, PR Alibaba швидко атакувала і отримала грошову винагороду у розмірі 5 мільйонів юанів для покриття громадської думки. Відтоді з'являлося безліч піар-проєктів щодо поганої безпеки WeChat Pay та взаємної відповідальності Alipay. В ім'я безпеки за нею стоїть заборона та протидії інтернет-бізнес-війні, зв'язки з громадськістю темношкірих і античорні інциденти, які посилюються, і Wuyun.com відіграє роль у її підживленні.

З огляду на безпрецедентне соціальне занепокоєння, спричинене безперервними інцидентами безпеки, які повідомляє Wuyun.com, деякі експерти нещодавно почали сумніватися, чи є правила розкриття вразливостей у Wuyun.com законними: медіа-повідомлення шалені на основі заголовків і коротких описів вразливостей, опублікованих Вуюнем. Тож якщо хтось навмисно публікує хибні лазівки, це неминуче спричинить дуже поганий вплив на підприємство, хто нестиме цю відповідальність? Чи приватна компанія, яка має стільки вразливостей у сфері безпеки і використовує розкриття вразливостей як свою бізнес-модель, сама по собі порушує сіру зону закону?

У своєму проєкті RFC2026 процесі відповідального розкриття вразливостей Інтернет-робоча група зазначає, що «журналісти повинні переконатися, що вразливості є справжніми». "Однак, коли вразливість буде оприлюднена на Wuyun.com і підтверджена підприємством, її автентичність і точність не можуть бути визначені. Відповідальне розкриття вразливості у сфері безпеки має бути суворим, і будь-який технічний працівник, який її виявляє, повинен чітко вказати масштаби її впливу, щоб не викликати зайву паніку у громадськості, як-от ці двері кредитної картки Ctrip, навіть якщо Wuyun.com хвилюється медіа-ознаки та ажіотаж через власні потреби, але також має пояснити, чи є витока інформація зашифрована і який масштаб впливу, а не ставати так званим «заголовком» і тримати підприємства в заручниках під приводом безпеки.

Розкриття вразливостей безпеки є необхідним, що несе відповідальність не лише за користувачів, а й за нагляд за корпоративною безпекою, але варто розглянути, як дійсно досягти відповідального розкриття вразливостей.