烏雲網

烏雲網

網站類型	資安情報網站
總部	中華人民共和國
創始人	方小頓 孟德[1]
網址	www.wooyun.org
推出時間	2010年5月6日[2]
現狀	關閉

烏雲網^[3]（WooYun^[4]）是一個位於中國大陸的資安情報網站^[5]，於2010年5月由方小頓和孟德聯合創立^[6]。該網站是一個介於企業與安全研究者之間的安全漏洞報告平台^[7]。2016年7月20日凌晨，烏雲網突然被關閉，僅顯示一張「烏雲及相關服務升級公告」的圖片。截至2020年8月25日，該網站依舊展示升級公告，無法訪問。

烏雲網將自身標榜為「自由平等的漏洞報告平台」^[8]，《杭州日報》稱其為蓋在中國眾多企業頭上名副其實的一朵「烏雲」^[9]，《澎湃新聞》稱其為「中國最大的漏洞報告平台」^[10]，《香港自由新聞》稱其為「中國最大的道德黑客社區」^[11]，公共政策智庫美國外交關係協會稱其為「中國最大的計算機漏洞報告平台」^[12]，《國際財經時報》英國版稱其為「中國最大的白帽黑客社區之一」^[13]。

中國大陸媒體《電腦報》報道，烏雲網的成名戰發生在2011年年底。當年11月，該網站根據白帽子提供的材料，接連披露網易、支付寶、京東商城等中國互聯網巨頭存在高危漏洞，12月29日更是指出支付寶1500萬至2500萬用戶資料被泄露。12月30日，烏雲網發佈聲明宣佈暫時關站，對系統做短暫的升級，公告稱，「最近頻繁披露的安全事件及帶來的影響表明，一方面我們企業的整體安全建設還不夠完善，但是同樣反饋出我們烏雲平台和社區無論是溝通渠道還是反饋及響應機制都存在一些嚴重的問題」^[14]。此後，該網站又相繼披露出酒店開房信息泄露、支付寶漏洞、搜狗瀏覽器泄露用戶數據、騰訊7000萬QQ群用戶數據泄露等^[15]。

法律事件[編輯]

賈偉事件[編輯]

2011年4月，烏雲網白帽子賈偉在京東商城購物時，無意間發現了京東存在技術漏洞，該漏洞可以獲取京東所有客戶賬號、密碼及個人信息。隨即，他將這一情況反饋給京東技術人員，這位技術人員主動聯繫賈偉，表示將在第一時間內修復漏洞。賈偉連續跟蹤觀察了8個月後，發現這一漏洞並沒有被修復。於是，他便把漏洞發佈到烏雲平台，京東也驗證了自己存在的漏洞，並以官方身份進行了漏洞確認。但京東的技術人員依然無法確認具體的漏洞所在，賈偉表示只要聘請他為高級技術顧問，並支付約240萬元勞務費，就可以為京東商城修復這一漏洞。不料，京東商城以網絡被入侵並被「敲詐勒索」為由，向北京朝陽區公安局報警，12月30日，賈偉被警方帶走，一個多月後，他被保釋出獄^[16]。

袁煒事件[編輯]

此章節缺少有關袁煒自認清白，稱讀取為sqlmap所為的資訊。 請擴充此章節相關資訊。討論頁可能有詳細細節。

2015年12月，烏雲網白帽子袁煒發現世紀佳緣的系統存在漏洞，並在烏雲網上提交了這一漏洞。世紀佳緣確認並修復了漏洞，並向烏雲網和袁煒致謝^[17]。但事後，世紀佳緣統計發現，有900多條數據被攻擊者獲取。出於對信息安全的擔憂，世紀佳緣選擇報警。警方調查後發現只有袁煒一個人涉嫌此案。最後，袁煒被檢察院公訴，2016年4月被批准逮捕。這一事件被外界稱為「袁煒事件」。這一事件震動了中國信息安全界，隨之而來的是各界對白帽子行為邊界的激烈討論^[18]。一些網絡安全業內人士和法律人士稱，袁煒事件或將成為中國互聯網安全史上一個標誌性的「分水嶺」^[19]。

關站「升級」[編輯]

2016年7月20日凌晨，烏雲官網突然被關閉，僅顯示一張「烏雲及相關服務升級公告」的圖片，並附言 「與其聽信謠言，不如相信烏雲」^[20]。據外界推測可能是內部整頓^[21][22]。《財新網》援引消息人士稱，包括創始人方小頓在內的烏雲網數名團隊成員7月19日被警方帶走^[11]。但前烏雲合伙人楊蔚闢謠稱是謠言，並表示「謠言止於智者」^[23]。7月19日晚，新浪微博大V「互聯網那些事」爆料稱烏雲網被連鍋端，高層全部被警方拷走^[24]。截至2020年8月18日，該網站依舊展示升級公告，無法訪問。

漏洞披露[編輯]

網易郵箱[編輯]

• 2010年7月14日，烏雲網披露網易郵箱存在CSRF漏洞，並將這一危害等級定義為「高」，成功攻擊可能導致用戶數據被竊取^[25]。
• 2011年12月27日，烏雲網稱網易163郵箱在找回密碼頁面莫名綁定陌生的QQ號碼，懷疑163郵箱賬號被大面積種植後門。網易公司對此表示網易郵箱被種植後門的說法屬於謠言，網易當前的系統程序一切正常，後台不存在漏洞，且賬號信息也沒有被泄露。網易還對發佈謠言的行為表示遺憾和譴責^[26]。

酷6網[編輯]

2011年2月13日，烏雲網披露，酷6網某活動用戶審核頁面存在未授權訪問漏洞，並將這一危害等級定義為「高」^[27]。

當當網[編輯]

2011年11月，烏雲網指出當當網由於設計缺陷可導致用戶資料泄露^[28]。

京東商城[編輯]

2011年12月27日，烏雲網稱，京東商城在某些業務上存在用戶權限控制不當的漏洞，導致用任意用戶登錄系統後，都可正常訪問到所有用戶的敏感信息^[29]。28日，京東發佈聲明進行回應稱經過核查京東並未查到相應漏洞，用戶的信息密碼也都為加密儲存，並未遭到泄露。烏雲網則稱京東已對該漏洞有所察覺，但京東商城卻予以否認。京東正式否認捲入「泄密門」^[29]。

廣東省公安廳出入境政務服務網[編輯]

2011年12月，烏雲網披露，廣東省公安廳出入境政務服務網後台存在漏洞^[30]，440萬的用戶資料外泄。據香港《東方日報》報道，廣東省公安廳於29日承認漏洞事件屬實，但宣稱已修補有關漏洞^[31]。

支付寶[編輯]

2011年12月29日，烏雲網指出支付寶1500萬至2500萬用戶資料泄露遭到泄露^[32]，而這些數據被用於網絡營銷。支付寶對此回應，只有賬號外泄，對用戶資金安全沒有威脅^[33]。支付寶同時表示，其採取金融級的信息安全標準，任何人都不能從支付寶獲得用戶密碼等私密信息^[34]。

中國民生銀行[編輯]

2013年10月，烏雲網披露中國民生銀行存在漏洞，該漏洞可導致民生銀行Android客戶端敏感信息泄露，該網站詳細描述稱，「賬戶權限控制沒做好，漏了幾個地方。導致可查詢任意賬號的餘額及進出帳情況」^[35]。

中國鐵路客戶服務中心[編輯]

2011年1月19日，烏雲網第一次披露中國鐵路客戶服務中心（俗稱12306網站）存在技術漏洞，披露者是該網站白帽子「路人甲」，他表示，「火車票難買啊，於是打算看下鐵道部的安全」，結果發現給12306提供域名註冊、空間服務的第三方公司由於DNS伺服器出現問題，導致12306網站的DNS記錄被泄露。自2011年以來，烏雲共披露了12306網站40多條漏洞。2013年12月6日，新版12306網站上線僅幾個小時後，烏雲網便發現了漏洞，稱漏洞可能導致用戶信息泄露。中國鐵路總公司立即作出回應表示漏洞已在第一時間修復。不過，時隔20多天後，烏雲網再次指出，12306網站某接口CDN問題存在漏洞，會導致用戶敏感信息泄漏。次日，12306回復確認該漏洞存在，並表示在第一時間修補了漏洞。^[9]

攜程[編輯]

2014年3月22日，烏雲網披露攜程系統存技術漏洞，編號為54302，發佈者是烏雲網的核心白帽子黑客「豬豬俠」^[36]。該漏洞導致攜程網安全支付日誌可遍歷下載，致使大量用戶銀行卡信息泄露。此外，攜程某分站原始碼包可直接下載（涉及數據庫配置和支付接口信息）。對此，攜程立即展開技術排查，並在兩小時內修復該漏洞。漏洞曝光後，原谷歌公司技術總監胡寧在新浪微博上表示，攜程此次事件並不是低級技術錯誤，並建議讓攜程應立即提醒用戶更換信用卡^[37]。攜程網漏洞被披露後，立即掀熱議，成為頭條新聞。很多人表示，兩個小時足夠「黑帽子」從中獲取用戶的信息。3月24日那一天，攜程的股價應聲大跌^[9]。

搜狗瀏覽器[編輯]

2013年11月5日，烏雲網指出搜狗瀏覽器存在漏洞，中國中央電視台《24小時》、《新聞直播間》、《熱點掃描》、《交易時間》等欄目詳細報道了記者驗證該漏洞信息的整個過程^[38]。

騰訊[編輯]

• 2013年11月18日，烏雲網披露騰訊QQ存在漏洞，並將這一危害等級定義為「高」，該漏洞可導致QQ號泄露用戶個人關係網和經歷^[39]。
• 2015年3月5日，烏雲網披露騰訊公司旗下的微信紅包存在高危漏洞，黑客可以設計程序自動領取他人發放的紅包。不過，騰訊方面回應稱，這一問題早在兩個月前已發現，並在第一時間完成了修復^[40]。

智聯招聘[編輯]

2014年12月2日，烏雲網白帽子「天地不仁以萬物為芻狗」提交了一個關於「導致智聯招聘86萬用戶簡歷信息泄露」的漏洞。對此，智聯招聘予以否認^[41]。次日，烏雲網又提交了一個關於「智聯招聘信息泄露進入內部郵箱」的漏洞，類型為「重要敏感信息泄露」^[42]。

UC瀏覽器[編輯]

2014年6月28日，烏雲網公開披露UC瀏覽器存在高危漏洞^[43]，該瀏覽器的「神馬搜索」可導致大量敏感信息泄露，涉及人人網、QQ空間以及新浪微博等^[44]。

百度[編輯]

2015年10月，烏雲網披露包括百度地圖、百度瀏覽器、百度音樂以及百度新聞等在內的多款百度旗下手機應用軟件存在安全漏洞，這一漏洞叫WormHole，如果這些軟件感染了該漏洞，用戶的手機一旦連網，就有被遠程控制的風險^[45]。

參考資料[編輯]

外部連結[編輯]

• 烏雲網首頁