乌云和漏洞盒子国内两大白帽子平台突然关闭,黑客和白帽的界限在哪里？(2)

　　在袁炜被抓后，世纪佳缘一度成为了白帽子“公敌”，短短几天时间，又有多个世纪佳缘的漏洞在乌云上被公布。被激怒的白帽子们在用自己的方式表达对世纪佳缘的不满。

　　知名白帽子“猪猪侠”上周在乌云提交了一个关于世纪佳缘的漏洞，在说明中，他特意写道“如果厂商不愿意接受来自互联网的贸然测试，可在修复本漏洞后点击忽略该漏洞，并在厂商回复处留下‘请不要测试本公司，本公司将采取法律手段约束你们的测试行为，后果自负。’之后走国际黑名单惯例，不会再有人关注贵公司信息系统的安全风险。”讽刺意味十足。

　　目前进展来看，“袁炜事件”的走向、判罚等将成为白帽子群体和漏洞报告平台“命运”的关键节点。

　　QQ、微信被盗，某个网站的帐户密码泄露，个人身份证、电话等信息被泄露……这背后几乎都离不开黑客。在IT世界里，黑客分为两种，一种是“黑客”，把系统漏洞兜售到黑市上，谋取巨额利益。另一种则是“正面黑客”，把系统漏洞提交给厂商，让厂商及时修复漏洞从而保护用户信息。两者有一个共同点，他们都能够发现计算机和网络系统上的漏洞。但在相应法规尚未完善的情况下，这一共同点也让两者之间的界限显得有点模糊。

　　近日，随着袁炜的被捕，两者之间的界限争论再度成为风口浪尖上的话题。随后，两大漏洞报告平台之一的乌云网昨日开始也陷入停摆危机。尽管乌云网官方口径称“进行升级”，但有不愿意透露姓名的知情人士向南都记者透露，“乌云网有十几个高管被抓。”然而直至昨天截稿时，这一消息尚未得到官方证实。“正面黑客”究竟是什么人?他们日常所从事都是什么工作?带着对这一行业的神秘猜想，南都记者昨天联系采访了多名IT世界里的“正面黑客”高手，试图还原他们最真实的生存状态。

　　“乌云确实出事了”?

　　乌云被认为是国内最早的漏洞报告平台，成立于2010年，众多“正面黑客”聚集其中，并曝出了此前多个互联网平台信息泄漏事件，如此前的铁道部官网12306用户数据泄露一事，为乌云网赢得了公众不少好感。

　　南都记者昨日下午再次登陆发现，打开乌云网页后出现的是升级公告。公告中提到，“为了更好地向大家提供服务，乌云及相关服务将进行升级。我们将在最短的时间内，以最好的姿态回归。”乌云网同时在公告最后指出，“与其听信谣言，不如相信乌云。”不过，有不愿意透露姓名的知情人士向南都记者透露，“乌云确实出事了，有十几个高管被抓了。”但对于更多细节，该人士拒绝进一步透露。针对对上述种种消息，乌云官方在接受南都记者采访时则未予置评。

　　在业内看来，乌云事件应该和此前袁炜被捕一事息息相关。不久前，袁炜向乌云平台提交某婚恋网站的漏洞报告，乌云平台将该漏洞告知并得到了修复。之后该婚恋网站针对用户信息被窃取一事报案，结果被抓的人却是袁炜，今年4月12日，北京市朝阳区人民检察院已正式批准逮捕袁炜。

　　此事件后，南都记者登录互联网安全测试另一大平台漏洞盒子发现，该页面可以正常打开，但旗下“漏洞黑板报”网页则打不开，其官方公告里的“热门漏洞”也变成404页面。漏洞盒子方面昨日向南都记者表示，所有业务都没有受到任何乌云事件的影响，公司目前准备做一些制度上的改版，也是在正常的计划安排中。

　　游走于法律边缘

　　两种黑客之间，实际上仅有一线之隔，都游走在法律的边缘。安全专家李夏(化名)向南都记者表示，“黑客”是把漏洞卖到黑市上，谋取巨额利益。“正面黑客”是把漏洞提交给厂商，让厂商及时修复漏洞保护用户信息。

　　不过，有IT业资深人士对南都记者表示，乌云的模式存在一定弊端。一般乌云与漏洞盒子两家平台发布一则漏洞信息后，一段时间内如果没有厂商认领，他们就会选择直接公布漏洞。“对于我们而言肯定是好事，可以学习他的思路，但对厂商就不一定了。”有一不愿透露姓名的“正面黑客”向南都记者透露，他之前曾发现某金融公司的漏洞，但最后无人认领，一个半月后被发布了。“从我个人角度来说，我是不希望这个漏洞被一些有心人利用的，所以我就跟乌云的人协调了一下，把关键信息打上了马赛克。”

原文转自：http://tech.sina.com.cn/i/2016-07-20/doc-ifxuapvs8902132.shtml