【IT商業(yè)新聞網訊】(記者 艾米)2011年12月29日,漏洞報告平臺烏云網宣布要對系統做短暫升級,暫時關站。烏云網因近期不斷披露的網站漏洞消息引發(fā)各方關注,在先后曝出CSDN、天涯、當當、京東商城等存在安全漏洞后,29日烏云再次指出支付寶1500萬至2500萬用戶資料被泄露,以及廣東省公安廳出入境政務網444萬用戶信息泄露。
對于烏云網曝出的信息泄露事件,CSDN、天涯確認了其用戶數據庫失竊,當當則承認有黑客攻擊了漏洞,廣東省公安廳也于12月29日晚通過微博證實了漏洞存在。
烏云網因系統升級暫時關閉
烏云網大范圍公布漏洞報告引爭議
據了解,烏云網是國內廠商和安全研究者之間的安全問題反饋平臺,用戶可以在線提交發(fā)現的網站安全漏洞,企業(yè)用戶也可通過該平臺獲知自己網站的漏洞報告。但是有人認為,烏云網沒有必要大范圍公開,造成如此大的影響,鬧得人心惶惶。
金山首席安全專家李鐵軍認為,烏云網漏洞報告雖然鬧得互聯網界草木皆兵,但對互聯網安全仍有積極意義。”能讓程序開發(fā)商更加重視漏洞問題,同時也給廣大網民上了一堂安全課。"
北京市盛峰律師事務所主任律師于國富在接受IT商業(yè)新聞網記者采訪時表示,漏洞報告是可以大范圍公布的,但是不能過于細化,要有分寸,不能傳授犯罪的方法。
針對人們爭論的問題,IT商業(yè)新聞網記者在網上采訪了"烏云-漏洞報告平臺"相關負責人,由于身份的特殊性,我們暫且用"烏云"代稱。"烏云"認為,披露是應該的,不能保持在小范圍公布,因為這是對其他用戶和廠商的一種欺騙,烏云堅持要做自由平等的漏洞報告平臺 。
"漏洞"報告并不一定是"事故"報告
在接受IT商業(yè)新聞網記者采訪時,"烏云"表示,作為平臺,發(fā)現漏洞后,會自動將信息同步給相關的廠商,并且會在平臺跟蹤漏洞的處理狀態(tài)。烏云平臺主要針對安全漏洞以及安全事件和安全信息這兩種情況發(fā)布報告。這兩種情況不同,"漏洞"報告并不一定是"事故"報告,不能擴張解讀甚至曲解誤導。
對于安全漏洞,是在廠商修復之后才公布細節(jié)的,如果問題足夠嚴重,可能在廠商修復之前會給公眾發(fā)布一些警告用以避免造成安全損失。
"烏云"強調,"這里一定要意識到一個問題,我們這里的白帽子發(fā)現問題之后會提交到平臺,但是很可能安全問題幾年前就發(fā)生,已經被人利用而廠商還不知曉呢。作為廠商,一定希望是信息不公開的,他們認為數據庫被偸了沒關系,關鍵是不要被他的用戶知道。我認為這本身就是一種欺騙。"
另外一種是針對安全事件和安全信息發(fā)布公告,"烏云"告訴IT商業(yè)新聞網記者,"安全事件是已經發(fā)生的了,通過我們平臺會給廠商足夠的提醒,我認為公眾也應該知曉安全事件"。
溝通渠道和反饋及響應機制存在問題
烏云網公布漏洞的出發(fā)點是為用戶和廠商,但是萬一有人冒充"白帽子",在平臺上發(fā)布虛假的漏洞信息,那危害將不可估量。
"烏云"告訴IT商業(yè)新聞網記者,目前不會有這種現象的,白帽子到我們平臺的目的是為了獲取尊重,對于沒有認證的白帽子我們會有額外的信息審核,即使是虛假信息,如果缺乏足夠的證據,廠商是可以在我們平臺對問題進行澄清的,我們是有機制的。
而12月29日,烏云網發(fā)布的公告稱,烏云平臺和社區(qū)無論是溝通渠道還是反饋及響應機制都存在一些嚴重的問題。如此看來,烏云平臺的整改和修正是很有必要的。
烏云平臺機制的完善將面臨一定的挑戰(zhàn),并且在國外也沒有先例,"烏云"對IT商業(yè)新聞網記者說,國外目前沒有這種針對互聯網公司的平臺,只有針對一些傳統的產品如瀏覽器、操作系統等漏洞報告的平臺,而且都是商業(yè)化的公司。但是一些個人研究者都會在自己的blog和一些社區(qū)來披露安全問題,或者一些互聯網公司主動對外來提供平臺獲取安全信息。
關于烏云平臺什么時候才能升級結束,"烏云"表示還需要一段時間。
推薦閱讀
活動現場發(fā)布了《戰(zhàn)地風云OL》主題電影《無名英雄》,同時中國電競精神領袖Sky和國內最偉大射擊游戲指揮官Alex兩位電競明星帶隊的媒體隊與國內知名競技職業(yè)戰(zhàn)隊WE分組進行10V10的精彩對戰(zhàn)。 【IT商業(yè)新聞網訊】(記者>>>詳細閱讀
地址:http://m.sdlzkt.com/a/guandian/yejie/20111230/170030.html
網友點評
精彩導讀
科技快報
品牌展示