4年发现5万个安全漏洞，倒逼商家加强安全防护

admin

“第三方漏洞报告平台”乌云网自2010年5月上线以来，迄今共发现了近5万个网络安全漏洞，腾讯、百度、淘宝、新浪……公众所知道的知名企业，无一幸免
TOM某分站存在多处漏洞、华为IPTV运维不当导致系统重要敏感信息泄漏(包括用户个人信息)、天融信防火墙openssl漏洞可能导致信息泄漏、人人网某站点存在sql注入漏洞、中国邮政某处设计不当可更改任意用户名且百万用户敏感信息可遍历、优酷某管理后台账户密码泄漏可登录……这些“骇人听闻”的消息并非玩笑，而是一个专门报告网络安全漏洞的网站“乌云网”上的最新内容。
上个月，轰轰烈烈的“携程网漏洞门”，就是乌云网披露的。这家网站自2010年5月上线以来，迄今共发现了近5万个网络安全漏洞，腾讯、百度、淘宝、新浪……公众所知道的知名企业，无一幸免。
“这些漏洞我们会在第一时间提供给相关企业，如果没有回复，或者不采取补救措施，我们将会向公众公布漏洞细节。”乌云网负责人告诉记者，我们的战斗方式是，挖掘网站中的安全漏洞，在黑客利用它们之前，提交到平台上，或者向厂商报告，希望厂商及时进行修复。
15个安全团队
平均每天发布35个安全漏洞
乌云网的技术人员叫做“白帽子”，目前有889人。当然，他们并非乌云网的员工，而是志愿者。所谓“白帽子”，是黑客的一类，是正面的黑客，他们可以识别计算机系统或网络系统中的安全漏洞，但并不会去恶意利用，而是告知厂商修复漏洞，以免被“黑帽子”利用。
根据乌云网的规则，“白帽子”向网站提交发现的漏洞，需要经过网站的审核，然后发给相关厂商，同时在网站发布漏洞名称和简要的说明，但暂时不会公布细节。相关厂商则必须在5日内进行确认，然后厂商会获得45天漏洞修复周期(软件类90天)，其间漏洞细节不会对外公开，如果5日内没有回应，乌云网会将漏洞细节公布。
乌云网负责人说，经过几年的发展，随着乌云网影响力的扩大，现在厂商们对于乌云网提交的漏洞信息，都非常重视，很多厂商会根据漏洞的严重程度给予“白帽子”物质奖励，以鼓励他们继续帮助自己找漏洞。
目前，有524家厂商在乌云网注册，包括携程、腾讯、淘宝、百度、新浪、搜狐、阿里巴巴(滚动资讯)、网易、人人网、奇虎360等知名企业。
腾讯是最早在乌云网注册的厂商之一，至今被乌云网的“白帽子”们发现了1124处安全漏洞，其中2012年高达472处，2013年下降为339处。这说明，在“白帽子”的“刺激”下，腾讯自身也提高了安全防护水平。
披露的安全漏洞
和公众利益息息相关
3月22日，乌云网连续发布了两个有关携程的安全漏洞：“携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息)”、“携程安全支付日志可遍历下载，导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)”。
消息一出，立即掀起轩然大波，成为“头条新闻”。尽管携程第一时间回复，并称安全漏洞是由于技术开发人员为了排查系统疑问而留下了临时日志，并由于疏忽未及时删除，已在两小时内及时修复。但很多人认为，两个小时足够“黑帽子”从中获取用户的信息。3月24日周一那天，携程的股价也应声大跌。
翻看乌云网披露的漏洞记录，让人吃惊，因为在我们原本认为十分放心经常在使用的网站，都赫然在列。
2011年11月，乌云网连续披露京东(滚动资讯)商城、支付宝、网易等著名互联网企业存在高危漏洞。同年12月29日，更是指出支付宝1500万—2500万用户资料泄露。此后，如家酒店等开房信息泄露、腾讯7000万QQ群用户数据泄露等一系列引起关注的泄漏事件均由乌云网公布。
2013年12月6日，新版中国铁路客户服务中心12306网站上线仅几个小时后，就被乌云网指出存在漏洞，可能导致用户信息泄露。中国铁路总公司立即作出回应：漏洞已在第一时间修复。然而，时隔20多天后，乌云网再次指出，12306某接口CDN问题存在漏洞，会导致用户信息泄漏，可查询登录名、邮箱、姓名、身份证以及电话等隐私信息。第二天，12306回复确认该漏洞存在，并表示在第一时间修补了漏洞。
其实，关于12306的漏洞问题，在乌云网已经多次发现，从2011年以来，乌云共披露了12306网站40多条漏洞。最早是2011年1月19日，“白帽子”“路人甲”公布的一条漏洞。“路人甲”在公布其漏洞名称时这样开玩笑：“火车票难买啊，于是打算看下铁道部的安全。”结果发现给12306提供域名注册、空间服务的第三方公司由于DNS服务器出问题，导致12306等诸多公司DNS记录泄露。
乌云网，已经成为了盖在众多企业头上名副其实的一朵“乌云”。
“他们工作的动力在于提高中国互联网整体安全水平，并且从中获得尊重和分享的乐趣。”乌云网负责人这样评价那些不为人知的“白帽子”。
问答 A&Q
A：普通网友如何防范信息泄密？
Q：应该提高网络安全意识，尽量不要将敏感的数据直接传递到不可信的服务上。
A：商家对你们提交的漏洞态度如何？
Q：目前越来越重视，我们提交的安全问题都会第一时间得到有效解决。
A：目前移动安全问题日益突出，普通用户如何防范？
Q：移动安全问题本质是云问题，用户尽量不要将太多重要的信息存储到不可信的服务器上，并且提高安全意识，不要使用来源不可靠的应用。
A：手机下载软件都会提醒该程序会获取用户的某些隐私，怎么办？
Q：这是行业的通用问题，还是需要大家提高安全意识，国家进行法律约束，同时媒体和我们第三方平台起到监督的作用。
A：如何看待最近的“心脏流血”事件？该怎么应对？
Q：这是一个互联网基础设施发生的安全问题，非常严重。一方面需要企业进行及时修复，另外一方面企业还应该提醒用户遭受风险的同时及时修改敏感密码。
A：现在人们(包括商家)对网络安全的重视程度如何？
Q：已经非常重视了，这从企业对安全建设的投入增加可以看出来。譬如这次携程漏洞门事件之后，携程建立了安全应急响应中心，并设立了总额500万元的信息安全奖励基金，奖励为携程找出漏洞的信息安全卫士。



来源：网络转载

---