乌云的“暧昧地带”

漏洞披露，更是一场狂欢

在普通公众心中，神秘和危险是黑客的代名词。但在黑客界，所有黑客主要被归为两种类型：白帽子与黑帽子，愿意向企业公布漏洞、不恶意利用漏洞的就是白帽子，而黑帽子则是以盗取信息牟利为生。

此次携程漏洞的发现者“猪猪侠”是乌云排名最高的白帽子，发布漏洞高达125个。3月22日晚，猪猪侠连续发布了两枚关于携程的严重安全漏洞，而在猪猪侠之前的战绩中，曾发布腾讯、阿里、网易、优酷、联想在内的多家知名企业漏洞，是一位名副其实的黑客高手。

乌云：黑客们的乌托邦

“因为未授权的黑盒安全测试是违法的，所以圈内流行这样一种做法：黑客们入侵网站盗取信息，最后只要在乌云网向厂商提交漏洞，就可以洗白。”

Z还向笔者展示了乌云网的一个非公开论坛，该论坛只有获得审核的白帽子才能进入。笔者在这个隐秘论坛中发现，黑色产业、网赚、网络战争等话题都有专门的讨论版块。在2013年12月新浪科技发布的《揭秘乌云网》一文中，乌云网被质疑为“中国最大的黑客培训基地”，如下图：

类似的话题在该论坛中比比皆是，众多白帽子摇身一变，在这个温室中讨论着漏洞利用技术，如何利用这些漏洞去做黑产，游走在法律的灰色地带。（虎嗅注：乌云方面回应：“这个问题我们内部有过讨论，但是攻击和防御本来就是一体的。”）

安全漏洞会成为互联网时代最强大的公关武器？

伴随着互联网的飞速发展，国内地下黑色产业链也在日益庞大，安全漏洞真在威胁到每个人的实际利益。

2014年2月17日爆出支付宝/余额宝任意登录漏洞后，阿里公关迅速出击，拿出现金500万奖励白帽子盖过舆论。在此之后，关于微信支付与支付宝的互相职责安全性差的公关稿连绵不绝。以安全为名，背后实为互联网商业之战的封杀与反封杀、黑公关与反黑事件，正愈演愈烈，而乌云网在其中扮演了推波助澜的作用。

鉴于乌云网连续披露的安全事件引发了前所未有的社会关注，于是最近有专家开始质疑乌云网的漏洞披露规则是否合法：媒体根据乌云所公布的漏洞标题和简述疯狂报道。那么如果有人蓄意发布虚假漏洞，势必企业造成非常恶劣的影响，这个责任谁来承担？一家民营公司，掌握如此多的安全漏洞，并以漏洞披露作为商业模式，其本身又是否踩在法律的灰色地带？

互联网工作组在RFC2026《负责任的漏洞披露过程》草案中提到，“报告者应确保漏洞是真实的。”但当漏洞在乌云网发布之后、企业确认之前，漏洞的真实性与准确性无从知晓。负责任的安全漏洞披露应该是严谨的，任何发现漏洞的技术工作者，应说清楚漏洞的影响范围，以免引起不必要的大众恐慌，比如这次携程信用卡门，即便乌云网因自身需求，急待媒体曝光和炒作，但也理应说明泄露的信息是否经加密，影响的范围是怎样，而不是成为所谓的“标题党”，以安全为名挟持企业。

安全漏洞的公开是必要的，这不仅是对用户的负责，更是对企业安全的监督，但如何真正做到负责任的漏洞披露，是否需要一个更合理的漏洞处理机制，这些问题值得我们深思。