烏云網創始人方小頓,今年剛滿27歲,他已經集結了5000名白帽黑客,排查國內各大網站的安全漏洞。方小頓說,“烏云”就是云時代罩在信息小偷和互聯網企業頭上的一道警示咒,希望每一次撥云見日都是網絡安全的一次進步。
5月14日,烏云籠罩小米。當天漏洞報告平臺烏云網提交了兩個漏洞,均指向小米用戶資料大量泄露,稱影響800萬注冊用戶。小米隨后在官方微博上確認了此事并對此深表歉意。
因先后曝出CSDN、天涯、當當、京東商城等網站存在安全漏洞,烏云網于2011年聲名鵲起。
最近攜程網用戶信息泄露,以及酒店開房信息外泄等事件,都是通過烏云網曝出,然后媒體跟進被大眾知曉。烏云網是一個什么樣的組織?它在信息安全中發揮什么作用?
對話
方小頓:我們只關注真實
華西都市報:烏云網都提交什么樣的漏洞?
方小頓:兩種。一種是新漏洞,至少發現的時候,沒有證實造成實質損害的,詳細情況會直接提交給企業,在烏云網上有簡要描述,企業能夠及時補上漏洞。另一種是已經造成破壞的漏洞,在我們平臺上曝光后,可讓公眾有響應能力,做出修改密碼等補救措施,亡羊補牢。
華西都市報:有沒有受到相關企業的壓力?
方小頓:早期有過壓力,但現在這種模式已經得到大多數人認可。只有保證公眾對安全漏洞以及可能帶來風險的知情權,才能將損失降到最小,并倒逼企業重視改善安全。這是一個正循環。
華西都市報:會不會有企業專門挖出競爭對手的漏洞通過烏云網放大,比如在小米新品發布前一天曝出漏洞,這是不是太巧合了?
方小頓:烏云網公開漏洞時間都是不確定的,我們只關注一點,漏洞是否真實,而不關注背后的東西。
華西都市報:怎么獲得收入?方小頓:我們是一個公益性質的網站,國家信息安全漏洞共享平臺和廣東省信息安全測評中心會每年定期提供資金,基本能夠覆蓋我們的成本。
揭秘
“促進漏洞曝光良性循環”
5月14日,華西都市報記者登錄烏云網發現,兩個小米漏洞發現者分別是“路人甲”與“愛上平頂山”,均是烏云網資深白帽子,前者提交了1005個安全漏洞,后者提交了263個安全漏洞。
白帽子是正面的黑客,他可以識別安全漏洞,但并不會惡意去利用,而是公布漏洞。這樣,相關廠商可以在未造成損害之前來修補漏洞。
據了解,烏云網在2010年5月上線,創始人是方小頓,其目標是成為“自由平等的”的漏洞報告平臺。
“沒有烏云網之前,黑客發現漏洞后,黑帽子會惡意利用或賣錢;白帽子通知漏洞企業,但因為沒有影響力,不少企業不予理睬。”金山安全專家李鐵軍告訴華西都市報記者,正是因為烏云網的影響力,才吸引更多黑客選擇提交漏洞來獲得業界知名度,這往往比惡意利用或賣錢更有利。另一方面,企業受到壓力,對在烏云網上曝出的漏洞都會慎重對待加以彌補,“這形成一個良性循環,客觀上促進了網絡安全”。
如昨日10:23“愛上平頂山”提交漏洞,12:08就獲得小米確認,并感謝白帽子的提交。
京公網安備 11010502049343號