7月19日,中国著名漏洞报告平台乌云网(Woo Yun)突然无法访问,并传出了多名高管被捕的消息。虽然乌云网在20日凌晨发布的《乌云及相关服务升级公告》中表示“与其听信谣言,不如相信乌云”,并称会“在最短的时间内,以最好的姿态回归”。但近十天后,乌云网非但没有“回归”,多间媒体却证实了网站多名高管被警方带走的消息,其中包括联合创始人方小顿。
事情发生得很突然,乌云网的人自己也不知道出了什么事……大概一个礼拜前,是下午,乌云网近十多名团队成员被警方带走。乌云网的人说,当时没有什么手续,也没有通知。
方小顿网名“剑心”,曾在百度担任高级安全工程师,负责对黑客袭击百度网站的抵御工作。他也是中国“白帽黑客”中的佼佼者,曾发现多个知名底层和脚本安全性漏洞。
白帽黑客
2010年,他曾随同百度创始人兼首席执行官李彦宏亮相湖南卫视《天天向上》,代表互联网精英登场。后辞去高薪工作,全职运营乌云网。
此后,聚集众多“白帽黑客”的乌云网,随著发现知名企业和产品存在的安全漏洞而名声日益显赫,而2014年3月爆出的“携程泄密”事件,更将他们推向了舆论的风口浪尖。
根据乌云漏洞平台披露,携程安全支付伺服器介面存在漏洞,导致所有支付过程中的调试资讯均可被黑客读取,持卡人姓名身份证、银行卡号、信用卡CVV码等重要使用者信息均被泄露。这一事件使携程遭遇巨大的信任危机,股价一度暴跌。不少媒体猜测这一披露存在商业竞争背景,同时质疑,以披露漏洞作为商业模式,是否踩在法律的灰色地带。
但直到去年底,乌云网才第一次卷入实质性法律纠纷。
2015年12月,杭州“白帽黑客”袁炜在乌云提交了他发现的世纪佳缘网站系统漏洞。但在世纪佳缘修复了漏洞,并按乌云平台惯例向漏洞提交者致谢后,事态竟急转直下,世纪佳缘不久突然以“网站资料被非法窃取”为由报警。之后北京朝阳区检察院于2016年4月决定批准逮捕袁炜,并对他提起诉讼。
违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
因此,在乌云网停摆后,不少猜测认为这是袁炜事件发酵所致。但同时也有其它种种猜测:比如乌云平台上的“白帽黑客”测试了相关政府部门的网路系统,使乌云受到牵连;或是7月中国多名爱滋病患者身份信息被泄漏,乌云因在平台上公布过中疾控疫情网存在系统漏洞而受调查等。
据中国互联网协会信用评价中心法律顾问赵占领分析,乌云网受袁炜事件影响的可能性不太大。按照中国法律,技术人士利用漏洞机会实施犯罪行为,比如获取资料、破坏系统等,这些行为本身不是在平台上发生的,而是发生在平台之外。平台做的只是将漏洞通过图片、文字等形式公布出来,平台的行为也可能是法律问题,但不是犯罪问题。
“平台涉及的法律问题可能包括‘白帽’发布漏洞不实或不准确,平台因对漏洞资讯负有审核责任,造成共同侵权。”赵占领说。
根据此前发布的《乌云网漏洞审核机制改进公告》,“白帽黑客”发现某个漏洞后,会向乌云网提交漏洞,乌云网审核确认后,再把漏洞的概况在乌云平台上公布。根据乌云网漏洞披露的规则,厂商在得到漏洞通知后,会有5天的确认期,如果5天之内未确认的漏洞,将会被当做厂商忽略处理,直接对外公开。
就在7月19日,与乌云定位接近的“白帽黑客”社区“漏洞盒子”发布声明:“暂停接受互联网漏洞与威胁情报,将对互联网漏洞与威胁情报专案中的流程制度、规范等进行梳理。”但目前其官网已删除该声明,自称“目前全线产品业务运转正常,与其他事件无任何关联。”
方小顿的微信朋友圈早已于7月18日停止更新。他在最后一条朋友圈里称,“比天赋更重要的是变强起来的勇气,希望回来能有更好的自己。”