7月19日,中國著名漏洞報告平台烏雲網(Woo Yun)突然無法訪問,並傳出了多名高管被捕的消息。雖然烏雲網在20日凌晨發布的《烏雲及相關服務升級公告》中表示「與其聽信謠言,不如相信烏雲」,並稱會「在最短的時間內,以最好的姿態回歸」。但近十天後,烏雲網非但沒有「回歸」,多間媒體卻證實了網站多名高管被警方帶走的消息,其中包括聯合創始人方小頓。
事情發生得很突然,烏雲網的人自己也不知道出了什麼事……大概一個禮拜前,是下午,烏雲網近十多名團隊成員被警方帶走。烏雲網的人說,當時沒有什麼手續,也沒有通知。
方小頓網名「劍心」,曾在百度擔任高級安全工程師,負責對黑客襲擊百度網站的抵禦工作。他也是中國「白帽黑客」中的佼佼者,曾發現多個知名底層和腳本安全性漏洞。
白帽黑客
2010年,他曾隨同百度創始人兼首席執行官李彥宏亮相湖南衞視《天天向上》,代表互聯網精英登場。後辭去高薪工作,全職運營烏雲網。
此後,聚集眾多「白帽黑客」的烏雲網,隨著發現知名企業和產品存在的安全漏洞而名聲日益顯赫,而2014年3月爆出的「攜程洩密」事件,更將他們推向了輿論的風口浪尖。
根據烏雲漏洞平台披露,攜程安全支付伺服器介面存在漏洞,導致所有支付過程中的調試資訊均可被黑客讀取,持卡人姓名身份證、銀行卡號、信用卡CVV碼等重要使用者信息均被洩露。這一事件使攜程遭遇巨大的信任危機,股價一度暴跌。不少媒體猜測這一披露存在商業競爭背景,同時質疑,以披露漏洞作為商業模式,是否踩在法律的灰色地帶。
但直到去年底,烏雲網才第一次捲入實質性法律糾紛。
2015年12月,杭州「白帽黑客」袁煒在烏雲提交了他發現的世紀佳緣網站系統漏洞。但在世紀佳緣修復了漏洞,並按烏雲平台慣例向漏洞提交者致謝後,事態竟急轉直下,世紀佳緣不久突然以「網站資料被非法竊取」為由報警。之後北京朝陽區檢察院於2016年4月決定批准逮捕袁煒,並對他提起訴訟。
違反國家規定,侵入前款規定以外的計算機信息系統或者採用其他技術手段,獲取該計算機信息系統中存儲、處理或者傳輸的數據,或者對該計算機信息系統實施非法控制,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。
因此,在烏雲網停擺後,不少猜測認為這是袁煒事件發酵所致。但同時也有其它種種猜測:比如烏雲平台上的「白帽黑客」測試了相關政府部門的網路系統,使烏雲受到牽連;或是7月中國多名愛滋病患者身份信息被洩漏,烏雲因在平台上公布過中疾控疫情網存在系統漏洞而受調查等。
據中國互聯網協會信用評價中心法律顧問趙佔領分析,烏雲網受袁煒事件影響的可能性不太大。按照中國法律,技術人士利用漏洞機會實施犯罪行為,比如獲取資料、破壞系統等,這些行為本身不是在平台上發生的,而是發生在平台之外。平台做的只是將漏洞通過圖片、文字等形式公布出來,平台的行為也可能是法律問題,但不是犯罪問題。
「平台涉及的法律問題可能包括『白帽』發布漏洞不實或不準確,平台因對漏洞資訊負有審核責任,造成共同侵權。」趙佔領說。
根據此前發布的《烏雲網漏洞審核機制改進公告》,「白帽黑客」發現某個漏洞後,會向烏雲網提交漏洞,烏雲網審核確認後,再把漏洞的概況在烏雲平台上公布。根據烏雲網漏洞披露的規則,廠商在得到漏洞通知後,會有5天的確認期,如果5天之內未確認的漏洞,將會被當做廠商忽略處理,直接對外公開。
就在7月19日,與烏雲定位接近的「白帽黑客」社區「漏洞盒子」發布聲明:「暫停接受互聯網漏洞與威脅情報,將對互聯網漏洞與威脅情報專案中的流程制度、規範等進行梳理。」但目前其官網已刪除該聲明,自稱「目前全線產品業務運轉正常,與其他事件無任何關聯。」
方小頓的微信朋友圈早已於7月18日停止更新。他在最後一條朋友圈裡稱,「比天賦更重要的是變強起來的勇氣,希望回來能有更好的自己。」