乌云:他们这个生意,是聚集上万黑客在互联网上找漏洞

字体大小,可以调大哦: [] [] []

网上赚钱他们的名字叫乌云,你不一定听过他们的名字,但你用的互联网服务一定上过它们的漏洞名单  “我去百合网相亲了。”  “咋样?结果如何? 找到了没有?”  “我找到了他们的 bug。”  9 月 6 日,相亲网站百合网一个涉及几百万用户数据安全的漏洞被一个黑客发现了。  和一般黑客电影里的情节不同,黑客 Croxy 并没有拿起加密电话索要赎金,而是写下开头的段子,将安全问题提交给了名为乌云的漏洞平台。  而百合网也没有报警,而是在漏洞公布两天后确认问题存在,开始修复。不出意外的话,威胁几万用户信息的安全问题将在几天时间得到解决,而乌云也将在 10 月份公布具体的漏洞所在。  “其实大部分漏洞可能花一周就能解决,但我们给出的 45 天时间……一些客户端的软件比如浏览器、建站系统这样的产品,我们会给 90 天让厂商有充分的时间修复漏洞。”乌云平台的创始人孟卓告诉《好奇心日报》。而公布这些漏洞是为了将测试思路回馈社区,让其他互联网安全从业者也来学习。  在乌云漏洞平台上,类似的事情每天都会发生上百次。光是在最近 15 天,乌云上的新增漏洞已经有 1940 条。而这些曝光的漏洞,很可能会影响你的生活:  今年 9 月,九阳智能豆浆机的漏洞被曝光。因为一个设计和控制的缺陷,任何人都可以控制任意一台九阳豆浆机。漏洞提交的当天,九阳就已经获取情况并且确认开始了修复工作。  2014 年 7 月,阿里巴巴严重漏洞也在乌云上曝光,人们只需要通过搜索引擎,甚至不用账号、密码,就能直接获取支付宝用户的账户余额、交易记录、收货地址、姓名手机号码等敏感信息。阿里巴巴得知此事之后,还给找到漏洞的白帽子黑客 5 万元人民币的奖励。  “乌云”,还有“白帽子”是中文互联网安全事件绕不开的名词。    在 2010 年成立至今,乌云平台的漏洞列表页面上,漏洞数字已经超过 7 万个。当中涉及的公司除了腾讯、阿里巴巴、百度、小米、联想等科技企业之外,还有国内多家银行、金融机构,甚至地方政府网站的安全问题。  而作为这个漏洞社区的内容生产者,在乌云上注册的“白帽子黑客”也已经有 1 万人以上。所谓的白帽子,就是一些有技术能力,热爱网络安全行业的人们,有别于传统的黑客,他们通常会把漏洞告诉企业,提醒他们修复,而非用来获取个人利益。  “一开始我们完全没想到会做成现在这样。”乌云的创始人孟卓告诉我们。在 2010 年,还在百度做安全工作的剑心(网名)因为希望更多的信息安全行业同人交流,一起提高技术,所以当年一些行业内的朋友在业余时间建了“乌云漏洞平台”。第一批用户他们自己以及身边的朋友,大家找到漏洞,就提交到乌云上。  乌云对于漏洞处理机制是这样的:白帽子黑客向乌云提交的漏洞信息,乌云就会通知漏洞所在厂商认领,细节只对厂商透露,让他们尽快修复。在这个漏洞曝光的 45 天(如果是浏览器,社交应用等服务是 90 天)之后,乌云就会把漏洞的细节公之于众,将漏洞的发现方法作为白帽子黑客社区的学习养料,而提供漏洞的白帽子,也会得到乌云的虚拟货币和等级的提升。  在这个模式当中,乌云漏洞平台将自己定义为一个不盈利、独立于所有公司之外的第三方机构。但这种模式本身并不好做。  “安全行业是一个非常封闭的行业,”孟卓说,“别人发现了自己公网上赚钱

网上赚钱本文来自:.
欢迎转载,转载请注明本文链接: 乌云:他们这个生意,是聚集上万黑客在互联网上找漏洞:http://www.tkgao.com/wltg/5194.htm
云钊博客转载请注明本文出处谢谢!

标签:
更多
不好意思,评论已被关闭!