烏雲網
2010年創建的安全問題反饋平台
WooYun是一個位於廠商和安全研究者之間的安全問題反饋平台,在對安全問題進行反饋處理跟進的同時,為網際網路安全研究者提供一個公益、學習、交流和研究的平台。其名字來源於目前網際網路上的“雲”,在這個不做“雲”不好意思和人家打招呼的時代,網路安全相關的,無論是技術還是思路都會有點黑色的感覺,所以自然出現了烏雲。
你可以叫他烏雲,或者巫雲,或者我暈,但是我們堅信它是匯聚網際網路安全研究者力量的,將帶來暴風雨清洗一切的烏雲。
烏雲網
2010年5月 烏雲網上線,據其官方網站對自身的定位,目標成為“自由平等的”的漏洞報告平台。為計算機廠商和安全研究者提供技術上的各種參考以及漏洞bug的修復。同時,該網站在網路安全“圈裡”被視為一家黑客圈的安全問題反饋分享平台,用戶自由上傳漏洞信息,等待廠商核實並修復。業內安全人士稱,該平台對刺激各公司改善安全設施、改善中國網際網路的安全現狀有幫助,對改善中國網際網路的安全現狀都有幫助。烏雲網的發展也一直處於低調發展中。
2011年11月 烏雲網已經有超過500個白帽子安全研究人員、120多個廠商及一些政府網際網路安全部門參與到平台,接近4000個安全問題得到反饋和處理,沉澱了大量的安全實例和資料,對幫助企業避免和解決各種安全問題起到了不小的影響。
2011年11月,烏雲網根據平台會員提供的各種材料,連續披露京東商城、支付寶、網易等國內著名網際網路企業在用戶信息安全防護中存在高危漏洞,引起較大的社會反響,然而,出於各種考慮,其所報告的漏洞都遭到相關方面官方否認。
2011年12月21日,國內知名技術社區CSDN的600餘萬用戶資料被泄露。此後又陸續有消息稱,包括多玩800萬用戶信息、7K7K小遊戲的2000萬用戶、網站的1000萬用戶資料,以及人人網、U9網、百合網、開心網、天涯、世紀佳緣等網站資料庫也通過烏雲網漏洞發布平台遭遇不同程度的外泄。而在此之前,烏雲(wooyun)引起了人們眾多關注,作為一個廠商和安全研究者之間的安全問題反饋平台,烏雲提供給網際網路公司很多漏洞及風險報告,幫助他們防患於未然,然而,並未得到各方的積極回應和足夠重視。
2011年12月22日,烏雲網再次發布公告稱,因新網管理後台許可權疏漏,導致新網數十萬域名管理密碼或已泄漏。經其數據測試,部分域名管理密碼有效。用戶泄密事件愈演愈烈。
2016年7月20日 烏雲官方網站關閉。顯示通知“烏雲及相關服務升級公告。”
2011年12月31日,烏雲鑒於在此次泄密事件中的自身出現的各種問題及壓力,宣布暫時關閉網站,其官方網站發布公告稱:“最近頻繁披露的安全事件及帶來的影響表明,一方面我們企業的整體安全建設還不夠完善,但是同樣反饋出我們烏雲平台和社區無論是溝通渠道還是反饋及響應機制都存在一些嚴重的問題。”猜測稱,烏雲網暫時關閉可能與其漏洞披露機制尚未完善,且存在法律風險有關。還有業界人士認為:有關烏雲網宣布暫時關站的原因,金山安全專家李鐵軍昨日向記者表示,更有可能是來自政府以及企業的壓力,“社會影響太大,已經遠遠超出漏洞公布的技術層面了。”
尊重:作為一個網際網路漏洞報告平台,烏雲最重要的使命就是尊重。我們觀察到眾多的安全研究者與廠商之間存在著天生的不平等,不尊重。對於漏洞發現者來說,由於缺乏廠商的聯繫方式,即使發現了漏洞也很難將信息傳遞給廠商,而廠商也根本無法顧及散落在網際網路各地的漏洞信息,最終導致一些漏洞被人遺忘,未得到修復而造成損失。另外一方面,一些廠商對漏洞研究者的報告也很不尊重,甚至是一種輕視的態度,在出現問題之後對問題不是迅速修復以確保網際網路用戶的安全而是通過其他手段嘗試掩蓋漏洞甚至是否認漏洞的存在,在這種不尊重的前提下,漏洞研究者就可能直接將漏洞公開,直接損害了廠商的利益。破壞和建設一樣,同樣作為一種技術的存在,我們嘗試喚回大家對技術的尊重,烏雲將跟蹤漏洞的報告情況,所有跟技術有關的細節都會對外公開,在這個平台里,漏洞研究者和廠商是平等的,烏云為平等而努力。
進步:我們關注技術本身,相信Know it then hack it,只有對原理瞭然於心,才能做到真正的自由,只有突破更多的限制,才可能獲得真正意義上的技術進步,我們嘗試與加入WooYun的廠商及研究人員一起研究問題的最終根源,做出正確的評價並給出修復措施,最終一起進步。
意義:我們堅信一切存在的東西都是有意義的,我們也相信烏雲能夠給研究人員和廠商帶來價值,這種價值將是烏雲存在的意義,研究人員可以通過烏雲發布自己的技術成果,展示自己的實力,廠商可以通過烏雲來發現自己存在的和可能存在的問題,我們甚至鼓勵廠商對漏洞研究者作出鼓勵或者直接招聘人才。但更為深遠的價值和意義在於,我們和廠商一起對用戶信息安全所承擔的責任,構建健康良性的安全漏洞生態環境使得安全行業得到更好的發展。