乌云网:网络漏洞查找的网络黑客暗战江湖

10月10日，如家等酒店开房信息泄露；10月29日，来往被指存漏洞波及支付宝；11月5日，搜狗浏览器被曝存在重大安全漏洞；11月20日，腾讯7000万QQ群用户数据被指泄露；11月26日，360出现任意用户修改密码漏洞；甚至连相关部门网站漏洞也被公布....。.

一系列泄露事件让人们人人自危，也让公布这一系列泄密事件的乌云网声名鹊起。人们在震惊相关企业不负责任同时，也对乌云网充满了好奇：这是怎样的一个平台，背后又是一个怎样的隐秘江湖？

“白帽子”聚集的黑客基地

“老K”说：自己是一名重塑黑客理想的白帽子

11月15日，某咖啡厅。

距与“老K”约定的时间已过去了半个小时，记者用手机QQ给他发去一条消息：“到了么？”

“堵车快到了，还有几分钟。”“老K”回复。

又过了半个小时，“老K”仍未出现。又过了十分钟，记者收到了一条“老K”发来的消息：“抱歉，我刚才在咖啡厅外徘徊了很久，想了想，还是QQ上交流比较好吧。”

“在这个圈子，真实身份是个秘密。除非完全信任你，否则不会告诉你全部。”对“老K”所在圈子有很深了解的本报网络工程师“董师傅”对记者说。

对普通用户而言，“老K”所在圈子是一个很隐秘的江湖——“老K”在一家网络公司工作，表面上和普通人没什么区别。但晚上，他就成了某高手云集的黑客团队里重要一员，网名就是他的身份代表，通常只用QQ和外界交流。

2010年，“老K”第一次将某个网站改了主页，插入图片与音乐，“与利益无关，那感觉很兴奋。”老K说他们与贩卖数据的传统黑客不同，“我们的理想是重塑黑客精神。”“老K”把自己称为黑客中的“白帽子”，他现在的乐趣在于寻找、测试和捕捉各大企业的安全漏洞，然后提交给第三方漏洞平台乌云网。

“我有自己正当的工作，不靠那个牟利。”“老K”在乌云网上的等级是普通白帽子，2012年至今，他已在该平台上提交了20多条漏洞，大部分在厂商确认都已公开，涉及电信、传统IT厂商、证券网站。“找到漏洞，就是要找寻所谓的后门，即作为“开门钥匙”的用户名和密码。”

在普通公众心中，神秘和危险是黑客的代名词。但在黑客界，所有黑客被归为三种类型：白帽子、黑帽子、灰帽子。像老K这样“重塑黑客理想、不恶意利用而且公不漏洞”的就是白帽子。灰帽子擅长攻击技术，但不轻易造成破坏。而黑帽子则是以盗取信息牟利为生。

很难统计目前中国有多少活跃的黑客，但公布一系列泄密事件的乌云网，正是集结网络白帽子的主要力量。据记者不完全统计，目前至少有4000多名白帽子活跃在乌云网上。“这些白帽子身份很复杂，有各大公司的网络安全工程师，有黑帽子洗白的，有IT从业人员，也有白领、律师甚至厨师。”“老K”说。“可以说，乌云网聚集了全国最多的黑客，也是乌云网让白帽子这个词语火爆起来。”

“乌云网就是一个黑客聚集之地。”2011年底，在接受某媒体采访时，化名的乌云网组织者“WooYun”也如此表示，这些黑客中的白帽子挖掘网站中的安全漏洞，在“黑帽子”利用它们之前，提交到平台上，或者向厂商报告，使厂商及时进行修复。

“乌云之前，全是黑的”

乌云网联合创始人孟德说：在乌云之前，(安全界)全是黑的

根据记者不完全统计数据，乌云网首页“最新公开”的安全问题达1.5万个，“最新确认”漏洞近1千个，11月25日至11月28日提交的漏洞也有30多个。从记者观察来看，这些漏洞所涉领域中繁多，除了传统的联想、腾讯、中国移动等多家IT企业，还有中科院、各大银行、国家航空、海关系统甚至政府各部门官方网站等核心网站。

“这些漏洞来源均来自民间安全研究人员，漏洞提交上来后平台会进行一个简单的验证，确定后就转交给各个企业在乌云的的安全接口人进行确认，厂商对其真实性负责。”孟德说。

乌云网(WooYun)成立于2010年5月，主要创始人为百度前安全专家方小顿——这位1987年出生的国内知名黑客“剑心”，因在2010年2月和李彦宏一道参加湖南卫视《天天向上》节目，因为女友高歌一首而为人所知。此后，方小顿联合几位安全界人士成立了乌云网，其目标是成为“自由平等的”的漏洞报告平台，为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的修复。

“乌云之前，你当他(安全界)全是黑的好了。因为没有合理的漏洞提交渠道，一个所谓的善良黑客要提交漏洞可能会被厂商威胁 。”10月21日，乌云网对外发言人孟德对记者说，乌云网的创立初衷之一是在厂商和白帽子之间建立一个沟通平台。

孟德，和活跃在乌云上的白帽子一样，他更愿意让人们叫他的网名“疯狗”。自称为业余渗透师，web安全爱好者。拥有9年互联网安全经历，乌云网联合创始人。

孟德如此描述乌云网对国内安全界的重大贡献：“有了乌云之后呢，我们会告诉大家，漏洞你别乱发，我们帮你跟厂商沟通，培养漏洞先给厂商的习惯.....。.把平台上的白帽子们思想和习惯给规范化、合理化......。.变成一支互联网安全的中坚力量。”

根据孟德的说法，现在乌云网员工都是“兼职”行为，由企业与合作伙伴的朋友共同支撑。“我们并不是一个组织，只是一个平台聚集了一些爱好安全技术的人。很多白帽子都来这里分享漏洞，也只有得到核实并已经采取防范措施解决问题后才会被公开。”孟德说，此前由于沟通渠道的缺乏，“白帽子”即使发现了漏洞也很难将信息传递给网站，而网站也根本无法顾及散落在互联网各地的漏洞信息，最终导致一些漏洞被人遗忘，未得到修复而造成损失。

乌云网一炮打响是在2011年底——当年11月，乌云网根据白帽子提供的各种材料，连续披露京东商城、支付宝、网易等著名互联网企业存在高危漏洞，12月29日更是指出支付宝1500万至2500万用户资料泄露，以及广东省公安厅出入境政务网444万用户信息泄露。

而此后，如家酒店等开房信息泄露、支付宝漏洞、搜狗浏览器泄露用户数据、腾讯7000万QQ群用户数据泄露等一系列引起关注的泄漏事件均由乌云网公布。

三方暗战的江湖

对于乌云网、厂商、白帽子而言，三者间亦是一个不为公众所知的暗战江湖。

根据《乌云网漏洞审核机制改进公告》，普通漏洞披露流程为5天厂商确认期，10天向核心白帽子公开其漏洞细节，20天向普通白帽子公开，30天向实习白帽子公开，45天向公众公开其细节。“超过周期厂商无回应，或者在期间内否认漏洞的真实性，乌云网一般都会公开其细节。”“老K”说。

来自乌云网官方的数据显示，目前有500多家厂商与乌云网有合作或被公布漏洞。对于乌云网、厂商、白帽子而言，三者间亦是一个不为公众所知的暗战江湖。

“厂商是否应该给予乌云网上的白帽子奖励？”10月26日，在京东安全沙龙上，一位参会者提出了一个引起热议的问题。1个月后的11月20日，乌云网公布了一个“不太听话”的厂商――称腾讯7000多万QQ群关系数据被泄露，在迅雷快传很轻易就能找到数据下载链接。根据QQ号，可以查询到备注姓名、年龄、社交关系网甚至从业经历等大量个人隐私。

一位业内人士还对记者举了一个例子：10月29日，乌云网公布了一个白帽子提交的漏洞，其标题为《“来往”致淘宝账号被破解 波及余额宝支付宝》的漏洞消息，称该漏洞处于等待厂商处理状态，也就是说，用户选择通过淘宝帐户登陆来往后，看到消息时仍可波及到支付宝余额宝的安全问题。“据我了解，这位白帽子先把漏洞提交给了阿里官方，但阿里官方没有理睬，后来这位白帽子气不过，又提交到了乌云网，乌云网则对其进行了公布。”

这个漏洞消息带来的后果之一是——在声讨支付宝安全漏洞的热议中，根据媒体报道，在三元里做服装生意的杨先生，其银行账号通过支付宝莫名其妙转走了5万元。随后一名“黑客”发来短信自称在测试支付宝漏洞时所为。

去年2月14日，一位网名为“zazaz”的黑客在国内安全问题反馈平台乌云上提交漏洞，称中国联通客服系统存安全隐患，该漏洞在乌云平台公布后，有部分用户用于娱乐。而如家等酒店的开房信息泄露，更是在全国引起了疯狂的下载、查询开房信息风波。

这引发了人们的追问：乌云网是否应该将漏洞公布于众？根据孟德的说法，在厂商未确认或驳回前，公众不会看到漏洞的具体细节，黑客很难根据这些消息进行违法行为。但一位互联网人士也对记者称：“如果黑客对此有兴趣，那么只要知道企业名字和大概漏洞消息源头，侵入这个企业并不是难事。”该人士表示，从他的观察来看，乌云网上的众多待确认和刚提交的漏洞，甚至涉及到各个政府部门的安全问题，虽然没有具体细节，但仍然让外界用户感到吃惊。

“厂商前方百计要把影响降到最低，要么否认、驳回其漏洞，要么乖乖和乌云网进行合作。而乌云网则千方百计想要炒作自己，亏大自己的影响。”“老K”说，而白帽子，也有自己的诉求，或为了名，或为了利，因此如果提交给厂商被驳回，一般都会提交到乌云网。

对此，一位不愿透露姓名的某互联网企业高层人士对记者称，对于乌云网，他们也是颇为无奈。一方面，企业有自己的安全数据中心，随时在对企业网站进行测试；另一方面，乌云网亦不时公布些耸人听闻的消息，炒作自己在业界的权威，不理睬也不行——但事实上，那些引起热议的泄露事件，其漏洞早在几个月前就已修复。

对于是否炒作的说法，孟德对此并不否认。“这其实是国内互联网舆论的一个怪圈 ，只要是曝光率比较高， 或因为什么比较热门了 ，就可能会被认为是自我炒作 ，乌云现在也在经历这个怪圈而已。”

按照乌云联合创始人，原百度安全架构师“剑心”在知乎的说法，乌云网得到“除了腾讯这样的封闭企业的认可。”对此一位知情人士对记者称，腾讯是唯一不对乌云网上的白帽子送礼物或奖励的厂商，相对应的，乌云网上公布问题最多的企业也是腾讯——根据记者不完全统计，乌云网公不的腾讯各种安全问题多达数百个。