烏雲平台暫停公告

　　新浪科技 李根

　　7月20日上午消息，國內知名漏洞報告平台烏雲今日出現無法訪問，其後烏雲發公告稱，原因是官方正在進行升級。昨日，國內另一漏洞報告平台漏洞盒子宣布，暫停接受互聯網漏洞與威脅情報。這意味著國內兩大知名漏洞報告平台先後進入“暫停”狀態，但具體原因尚不明確。

　　新浪科技第一時間致電聯系了烏雲社區負責人方小頓，但對方電話處於無人接聽狀態。

　　烏雲是國內最知名的白帽子社區，所謂白帽子即正面黑客，這個群體會及時發現各互聯網平台漏洞，並提交報告，在此之前會提醒對方修複。

　　烏雲運營團隊在官網聲明中稱，烏雲及相關服務將進行升級，將在最短的時間內回歸……不管是從前，現在，還是未來，我們都將堅持這么做下去。

　　烏雲還在公告中強調：一直以來，烏雲致力於讓安全性作為用戶選擇產品的重要考量之一，促進企業更重視安全，讓更多人重視安全關注安全，從而營造出更好的安全生態。

　　漏洞盒子公告

　　值得一提的是，烏雲的公告與漏洞盒子的公告有相似之處，漏洞盒子在其公告中表示：近期，漏洞盒子管理團隊將對互聯網漏洞與威脅情報項目中的流程制度、規范等進行梳理。在改進的過程中，暫停該項目相關漏洞與威脅情報接受，新的流程將於近期上線。相信能夠幫助’白帽子’與企業之間建立真正信任的關系。

　　雖然未明確說明，但外界認為兩大漏洞報告平台的“暫停”和對外公告，可能與“袁煒事件”有關。

　　袁煒是互聯網漏洞報告平台“烏雲”上的一名白帽子。去年12月份，他在烏雲提交了其發現的婚戀交友網站世紀佳緣的系統漏洞。在世紀佳緣確認、修複了漏洞並按烏雲平台慣例向漏洞提交者致謝後，事情突然發生轉折。

　　世紀佳緣在一個多月後以“網站數據被非法竊取”為由報警，4月份，袁煒被司法機關逮捕。在不久前的第四屆網絡安全大會上，袁煒的父親發出公開信為兒子鳴冤，讓袁煒的遭遇成為網絡安全圈的熱門事件。

　　關於袁煒被抓，坊間傳出世紀佳緣“釣魚”的說法，有人質疑為何世紀佳緣在向烏雲和漏洞提交者致謝後的一個多月又突然報警。對此，世紀佳緣方面給出了回應：“自烏雲通知公司網站存在漏洞至今，世紀佳緣從未獲得過漏洞提交人的聯系方式並與之取得聯系。在警方披露調查結果前，世紀佳緣並不了解網站攻擊者與漏洞提交者有何種關聯。世紀佳緣報警是出於對用戶隱私和公民信息安全的考慮，並不針對任何個人或組織。”

　　按照袁煒父親在公開信中的描述，袁煒於去年12月3日下午發現世紀佳緣網站漏洞;當天晚上，他為了驗證漏洞，又通過發現的漏洞瀏覽了世紀佳緣的部分數據，確認漏洞存在;次日上午，袁煒向烏雲提交該漏洞，同一天烏雲通知世紀佳緣;12月7日，在完成漏洞修複後，世紀佳緣在烏雲平台確認漏洞的頁面向該漏洞提交者表示感謝。今年1月18日，世紀佳緣向北京市公安局朝陽分局報案稱數據被竊取;3月8日，袁煒被刑事拘留;4月12日，北京朝陽檢察院以涉嫌非法獲取計算機信息系統數據犯罪，批捕袁煒。

　　但世紀佳緣並不承認“釣魚”的說法，並對表示感謝後一個月突然報警的行為，世紀佳緣CEO吳琳光則在知乎上解釋稱：“在漏洞修複過程中，我們發現有900多條有效數據被攻擊者獲取，出於對用戶數據和信息安全的擔憂，我們選擇了報警。”他同時表示，“在警方披露調查結果之前，我們並不知道提交漏洞的白帽子和攻擊者是同一個人。”

　　需要說明的是，“袁煒事件”後，白帽子平台的規則和規范開始再度引起關注，而且此事極有可能成為國內白帽子們的轉擇點。

　　一方面是對涉及個人數據的關注，以及白帽子行為的規范。另一方面則是白帽子群體的處境，因為從法律上來說，目前白帽子的行為並不受法律保護，處於灰色地帶。

　　在袁煒被抓後，世紀佳緣一度成為了白帽子“公敵”，短短幾天時間，又有多個世紀佳緣的漏洞在烏雲上被公布。被激怒的白帽子們在用自己的方式表達對世紀佳緣的不滿。

　　知名白帽子“豬豬俠”上周在烏雲提交了一個關於世紀佳緣的漏洞，在說明中，他特意寫道“如果廠商不願意接受來自互聯網的貿然測試，可在修複本漏洞後點擊忽略該漏洞，並在廠商回複處留下‘請不要測試本公司，本公司將采取法律手段約束你們的測試行為，後果自負。’之後走國際黑名單慣例，不會再有人關注貴公司信息系統的安全風險。”諷刺意味十足。

　　目前進展來看，“袁煒事件”的走向、判罰等將成為白帽子群體和漏洞報告平台“命運”的關鍵節點。