每經(jīng)編輯｜孟慶建    

每經(jīng)記者 孟慶建

19日晚間，國內(nèi)最大的“白帽黑客”社群烏云網(wǎng)突然關(guān)閉，有微博大V爆料稱，烏云管理團隊接受整頓。20日，烏云發(fā)布公告稱網(wǎng)站正在升級，并稱相關(guān)輿論為謠傳?！睹咳战?jīng)濟新聞》記者向烏云總裁方小頓致電，但未能取得聯(lián)系。

值得注意的是，另外一家大型的白帽黑客社群上海斗象科技旗下“漏洞盒子”也在19日宣布“按照既定計劃升級”，有媒體報道稱漏洞盒子同時陷入整頓。20日，斗象科技市場副總裁李勇對《每日經(jīng)濟新聞》記者澄清，“我們是躺槍了，我們網(wǎng)站沒有受到任何事件影響，公司及業(yè)務(wù)平臺目前按照既定的年度計劃進行。”

“烏云事件”的發(fā)酵，讓白帽子群體再次受到市場熱切關(guān)注。多位白帽子黑客接受記者采訪時猜測，烏云事件可能與去年12月份發(fā)生的“袁煒事件”相關(guān)，不過這一說法未得到烏云的回應(yīng)。

停運“升級”被爆在整頓

19日晚間，微博大V爆料，國內(nèi)知名漏洞報告平臺烏云出現(xiàn)無法訪問，其后烏云發(fā)公告稱，原因是官方正在進行升級。烏云運營團隊在官網(wǎng)聲明中稱，“烏云及相關(guān)服務(wù)將進行升級，將在最短的時間內(nèi)回歸……不管是從前，現(xiàn)在，還是未來，我們都將堅持這么做下去。”

19日晚間，《每日經(jīng)濟新聞》記者第一時間致電聯(lián)系了烏云社區(qū)負責(zé)人方小頓，但對方電話處于無人接聽狀態(tài)，無法確認是否接受整頓的說法是否屬實。據(jù)北京一位白帽黑客透露，日?；钴S在烏云上的白帽子至少有數(shù)千人。

無獨有偶，同為白帽社區(qū)的上海斗象信息旗下白帽子社區(qū)“漏洞盒子”同樣在19日宣布系統(tǒng)維護。有媒體報道時稱，漏洞盒子同樣在按照相關(guān)部門的要求接受整頓。但斗象信息科技在20日上午發(fā)布緊急公告，否認了這一說法。其公告稱，旗下漏洞盒子平臺業(yè)務(wù)運營按照年度計劃既定進行，目前全線產(chǎn)品業(yè)務(wù)運轉(zhuǎn)正常，與其他事件無任何關(guān)聯(lián)。

20日下午，斗象信息科技市場副總裁李勇對《每日經(jīng)濟新聞》記者澄清表示，“我們是躺著中槍了，我們旗下網(wǎng)站及業(yè)務(wù)目前沒有受到任何事件影響，正按照此前年度工作既定計劃進行正常運營與推進，關(guān)于公司進行網(wǎng)站維護升級的事情，是斗象信息科技將聯(lián)合國家相關(guān)政府管理部門進行相關(guān)安全生態(tài)體系建設(shè)的籌備之事而展開的，屬于早就既定的工作事項。在網(wǎng)站維護升級的過程中，暫停該項目相關(guān)漏洞與威脅情報接受。整個升級時間大概需要兩三天，之后恢復(fù)運營。

針對烏云停運升級事件，多位白帽子黑客對《每日經(jīng)濟新聞》記者表示，猜測此次停運升級可能與去年12月份在烏云社區(qū)發(fā)生的“袁煒事件”有關(guān)聯(lián)。

據(jù)了解，袁煒是烏云社區(qū)上一名白帽子，去年12月份，他在烏云提交了其發(fā)現(xiàn)的婚戀交友網(wǎng)站世紀佳緣的系統(tǒng)漏洞。在世紀佳緣確認、修復(fù)了漏洞并按烏云平臺慣例向漏洞提交者致謝后，事情突然發(fā)生轉(zhuǎn)折。世紀佳緣在一個多月后以“網(wǎng)站數(shù)據(jù)被非法竊取”為由報警，4月份，袁煒被司法機關(guān)逮捕。

世紀佳緣CEO吳琳光回應(yīng)稱：“在漏洞修復(fù)過程中，我們發(fā)現(xiàn)有900多條有效數(shù)據(jù)被攻擊者獲取，出于對用戶數(shù)據(jù)和信息安全的擔憂，我們選擇了報警。”他同時表示，“在警方披露調(diào)查結(jié)果之前，我們并不知道提交漏洞的白帽子和攻擊者是同一個人。”

游走在“黑白”之間缺少監(jiān)管

“袁煒事件”讓白帽子群體受到廣泛關(guān)注，通常意義的理解，這群人與“黑帽黑客”相反，是用黑客技術(shù)維護網(wǎng)絡(luò)安全的力量，他們往往會被各大互聯(lián)網(wǎng)公司雇傭，通過攻擊自己的公司以測試網(wǎng)絡(luò)和系統(tǒng)的性能。在他們眼中，似乎沒有攻不破的系統(tǒng)。今年5月份，騰訊聯(lián)合白帽社群極棒在澳門組織的黑客大賽上，數(shù)十款家用網(wǎng)絡(luò)盒子被瞬間攻破，甚至微軟平板surface防火墻也在數(shù)分鐘內(nèi)被攻破。

但是在白帽子群體中不乏動機不純的“異類”。在維護安全的另一面，他們的存在在很多企業(yè)看來是威脅，從法律上來說，他們的行為并不受法律保護，處于灰色地帶。

“真正意義上的白帽子是不依靠提交漏洞賺錢的，我們有自己的工作，提交漏洞純屬是業(yè)務(wù)愛好。”前述北京的白帽黑客告訴《每日經(jīng)濟新聞》記者，“職業(yè)的白帽子也有獲取收入的規(guī)范途徑，主要是IT企業(yè)委托授權(quán)的眾測，另外目前各種黑客比賽會提供豐厚的獎金，比如騰訊和極棒今年5月份在澳門舉辦的黑客大賽，冠軍團隊共獲得了42萬獎金。”

“但是這個群體里同時存在很多渾水摸魚的人，以白帽子的名義做黑帽黑客的事，就像電影《無間道》里演的一樣，一念之差就可能走向歧途了。常規(guī)給企業(yè)網(wǎng)站做安全監(jiān)測項目，一般只有幾萬塊錢，和做黑產(chǎn)比起來真的太辛苦了。去年，有個白帽子挖到某家大型互聯(lián)網(wǎng)公司的漏洞，然后郵件給廠商，大致意思是我挖到你們漏洞了，付給我點辛苦費吧，不然賣給黑產(chǎn)我也能賺不少錢，然后這個人被舉報就被抓了。”

“很多平臺對這些白帽子是缺乏監(jiān)管的。因為大部分論壇注冊用戶都不是實名，不知道賬號背后是誰;平臺也不知道白帽子黑客們提交的內(nèi)容是不是全部內(nèi)容，黑客檢測網(wǎng)站也是隨機的。而且，平臺是否需要對這些白帽子做監(jiān)管？目前也沒有法律要求。”上述白帽子表示。