乌云黑客排行榜，黑客网络平台

10月10日，如家等酒店预订信息被泄露；10月29日，来黄被指存在影响支付宝的漏洞；11月20日，腾讯7000万QQ群被曝存在严重安全漏洞。据称用户数据泄露，11月26日，360出现允许所有用户更改密码的漏洞，相关部门网站漏洞也被公布。

一系列的泄密事件让大家都感到不安全，而发布一系列泄密事件的五云网也因此名声大噪。人们在对涉事公司的不负责任行为感到震惊的同时，也对乌云网感到好奇。 “这到底是一个什么样的平台，背后又隐藏着什么秘密世界？”

“白帽子”聚集的黑客中心

“老K”说：他是重塑黑客理想的白帽子

11月15日，某咖啡厅。

距离与“K叔”约定的时间已经过去了三十分钟，记者向手机QQ发消息：“到了吗？”

“交通已经快到了，我们还有几分钟的时间。”“K爷爷”回答道。

又过了30分钟，“老K”仍然没有出现。十分钟后，记者收到“K叔叔”的消息：“抱歉，我在咖啡厅外徘徊了好久，转念一想，还是通过QQ沟通比较好。”

“在这个圈子里，你的真实身份是个秘密，除非我完全信任你，否则我无法告诉你一切。”该报的网络工程师“董先生”对这个圈子有很深的了解。居住着“老K”。 ”他告诉记者。

对于普通用户来说，“老K”所属的圈子是一个非常隐秘的世界。 ——“老K”在一家互联网公司工作，表面上他与任何普通人没有什么不同。但到了晚上，他就成为了专家组建的黑客团队中的重要成员，他的网名成了他的身份，平时只用QQ与外界交流。

2010年，“老K”首次更改网站主页，插入照片和音乐。 “这与利润无关，这是一种非常令人兴奋的感觉。”老K说。 “我们的理想是重建黑客心态。‘老K’称自己为黑客界的‘白帽子’。他目前的爱好是寻找、测试和捕获大公司的安全漏洞并将其提交给组织。第三方漏洞平台五云网。

“我有自己的合法工作，我不靠它来赚钱。”“老K”在乌云网被归类为普通白帽子，自2012年以来一直在该平台上举报。 20 个漏洞。其中大部分是厂家确认的，涉及电信、传统IT厂商、证券网站，而且都是公开的。 “要查找漏洞，您需要寻找所谓的后门，或者充当‘开门钥匙’的用户名和密码。

在公众心目中，神秘和危险就是黑客的代名词。但在黑客的世界里，所有的黑客都分为三种类型：白帽、黑帽、灰帽。像老K这样“重塑黑客理想，不恶意利用，不暴露漏洞”的人就是白帽子。灰帽子攻击技术不错，但不容易造成伤害。另一方面，黑帽子则靠窃取信息和赚钱为生。

中国有多少活跃黑客很难统计，但发布一系列泄密事件的五云网是吸引互联网白帽子的主要参与者。据记者不完全统计，目前至少有4000名白帽子在乌云网运营。 “这些白帽子的身份非常复杂，他们包括大公司的网络安全工程师、洗黑钱的黑帽、IT从业人员、白领、律师，甚至还有厨师。” “五云网可以说是全国吸引最多黑客的地方，也是五云网让白帽这个词普及了。”

“乌云网是黑客聚集的地方。”2011年底，乌云网的化名主持人“WooYun”在接受媒体采访时也表示，这些黑客中存在着白帽分子，正在寻找安全漏洞。在利用前，请提交至平台或向厂商举报，以便厂商及时修复。

“乌云面前，一切都是黑色的。”

五云网联合创始人孟德表示：在乌云滚滚而来之前，一切都是黑暗的（在安全世界）。

据记者不完全统计，自11月25日以来，乌云网首页已有1.5万个“最新披露”安全问题，近千个“最新确认”漏洞，截至11月28日已提交漏洞30多个。据记者观察，这些漏洞除了涉及联想、腾讯、中国移动等传统IT企业外，还涉及中科院、各大银行、国家航空、海关系统等多个领域。以及各个政府机构的官方网站。

“这些漏洞的来源都是来自私人安全研究人员。一旦提交漏洞，平台会进行简单的验证，然后发送给乌云的各个公司进行确认，然后转发给安全接口人员。制造商对其真实性负责。”孟德解释道。

乌云成立于2010年5月。主要创始人为前百度安全专家方晓敦。这位国内著名的黑客“建新”出生于1987年。 2010年与李彦宏一起参加湖南卫视《剑心》黑客节目。 2010 年2 月。010 -30000 显示。女朋友以唱歌而闻名。方小盾随后与安全行业的其他几位人士合作创立了五云网，目标是为计算机制造商和安全研究人员提供各种技术参考和错误修复，以成为“自由平等”的漏洞报告平台。

“在乌云降临之前，他（安全行业）应该被认为是黑色的。没有合理的漏洞提交路线，所以如果一个所谓的仁慈的黑客提交了漏洞，他或她可能会受到厂商的威胁。” ”，五云网向外界透露，五云网最初的目的之一是建立厂商与白帽之间的沟通平台。

孟德喜欢被网名称为“疯狗”，就像一顶在乌云上运作的白帽子。自称业余入侵者和网络安全爱好者。拥有九年互联网安全经验，五云网联合创始人。

孟德这样描述乌云网对国内安全界的重大贡献： “乌云成立后，我们会告诉大家不要随意发布漏洞，我们会帮助与厂商沟通，培养向平台提供漏洞的习惯，它会标准化和简化想法和做法，成为中坚力量。”网络安全。 ”

据孟德介绍，在公司朋友和合作伙伴的支持下，五云网的员工目前都是“兼职”员工。 “我们不是一个组织，而是一个平台，很多热爱安全技术的人聚集到这里来分享他们的漏洞，但他们是经过验证并采取预防措施来解决问题的。”孟德此前说道。由于缺乏沟通渠道，即使“白帽子”发现了漏洞，也很难将信息传递到网站上，网站也很难考虑到分散的漏洞信息。结果，一些漏洞被遗忘而未被修复，从而造成损失。

五云网最早成名于2011年底，同年11月，根据白帽子提供的各种文档，京东、支付宝等知名互联网公司均存在高危漏洞。不断地被揭露出来。 12月29日，网易指出，除了1500万至2500万支付宝用户信息被泄露外，广东省公安厅出入境事务网444万用户信息也被泄露。

此后，一系列备受瞩目的泄密事件接连不断，包括如家酒店住宿预订信息泄露、支付宝漏洞、搜狗浏览器用户数据泄露、腾讯7000万QQ群用户数据泄露等。由五云网提供。

三方之间的秘密战争

三者之间正在展开一场不为公众所知的秘密战争，即使对于五云网、厂商、白帽子来说也是如此。

《天天向上》，典型的漏洞披露流程包括5 天的供应商审查期、10 天的向核心白帽披露漏洞详细信息、20 天的向普通白帽披露以及30 天的时间向实习生披露。 45 天披露漏洞详细信息。我将公布详细信息。 “如果厂商在一段时间后没有回应或者在一段时间内否认该漏洞的真实性，五云网通常会披露其详细信息。”“老K”说道。

据乌云网官方数据，目前与乌云网合作或被披露漏洞的厂商已超过500家。三者之间正在展开一场不为公众所知的秘密战争，即使对于五云网、厂商、白帽子来说也是如此。

“厂商该不该给五云网白帽赏金？”在10月26日的京东安全沙龙上，一位与会者提出了一个备受争议的问题。一个月后，11月20日，乌云网宣布一家“不太听话”的厂商，腾讯内部超过7000万条QQ群关系数据被泄露，而数据下载链接在迅雷快传中很容易就能找到。根据QQ号码，可以查询很多个人隐私，比如姓名、年龄、社交网络，甚至工作经历。

业内人士也向记者提供了例子。 10月29日，乌云网报道称，白帽子提交的漏洞消息标题为《乌云网漏洞审核机制改进公告》，并表示该漏洞正在等待厂商采取行动。如果用户选择通过淘宝账户登录后出现该消息，则支付宝的余额宝安全问题可能仍会受到影响。 “据我所知，白帽子首先将这个漏洞提交给了阿里官方，阿里官方没有理睬，随后白帽子愤怒地将其提交给了乌云网，并由乌云网公布了。”

该漏洞消息的含义之一是，在一场指责支付宝安全漏洞的热议中，据媒体报道，——莫名其妙地指责在三元里经营一家服装店的杨先生5日被举报。从银行转了1万元。通过支付宝帐户。随后，一名“黑客”发送短信，声称在测试时运行了支付宝漏洞。

去年2月14日，网名为“zazaz”的黑客报告了国内安全问题反馈平台五云漏洞，声称中国联通客服系统存在安全风险。该漏洞在五云平台公布后，已有用户举报。用于娱乐。如家酒店等酒店客房预订信息泄露，引发全国范围内下载、查询客房预订信息的风潮。

这引发了无云网是否应该公开披露该漏洞的质疑。孟德表示，在制造商确认或否认之前，公众无法看到漏洞的具体细节，这使得黑客很难进行非法活动。根据此信息采取行动。不过，也有网络人士向记者表示，“如果黑客对此感兴趣，只要知道公司名称以及漏洞信息的大致来源，入侵该公司并不困难。” 。据乌云在线报道，目前存在许多未识别和新报告的漏洞，其中包括各个政府部门的安全问题。虽然没有具体细节，但仍然让外部用户感到惊讶。

“厂商们正在想尽办法通过否认或无视漏洞、与乌云网合作等方式将影响降到最低，而乌云网则试图夸大自己的‘老K’说法，白帽子也有自己的名誉诉求。或利润，因此如果被制造商拒绝，通常您会向五云网提交您的请求。

对此，一位不愿透露姓名的互联网公司高管告诉记者，他对乌云网完全无可奈何。一方面，企业有自己的安全数据中心，随时测试自己的企业网站，但另一方面，五云网也不时发布耸人听闻的新闻，宣传自己在行业中的权威也没有问题。 —— 然而，引起争议的泄漏漏洞实际上在几个月前就已被修复。

至于是否夸张，孟德没有否认。 “这其实是国内网络舆论的一个奇怪的循环，只要曝光率比较高或者因为某种原因流行，就可以算是自我炒作。吴云现在也是，我们正在经历这个奇怪的循环。 ”

知乎五云联合创始人、前百度安全架构师简鑫表示，五云网“被允许开放给除腾讯以外的私营公司”，一位内部人士告诉记者，腾讯是唯一不负责任的公司。五云网发行量最多的公司也是腾讯——。据记者不完全统计，乌云网已曝光腾讯各类安全问题数百起。

送礼物或打赏是厂商对提交漏洞的白帽子给予的一种奖励。这种模式在美国非常普遍，以至于微软向任何能够解决其Windows 操作系统内存漏洞的人提供20 万美元的奖励。 Google、Mozilla、Facebook 和其他公司向研究人员提供其产品中的安全漏洞。最低奖金为500 美元。

但由于对提交漏洞的厂商的不屑和偏见，国内相对较少的公司向第三方漏洞平台提供丰厚的赏金（如360、腾讯、新浪等公司（我们对漏洞收集平台制定了赏金规定）。）其中之一是T 恤、钢笔和杯子等纪念品。五云网的“白帽子”，一名在纽交所美国上市公司工作的企业架构师，在五云网披露了小米网的安全漏洞，小米给了他一部小米手机作为代币。我给了。这让他有一种深深的满足感。孟德其实认为，这种激励措施与“白帽子”花大力气寻找的漏洞相比，显得相形见绌。

然而，厂家也不满意。 “首先，他们担心漏洞信息会对他们产生负面影响。其次，每个公司都有很多漏洞。”前述互联网专家表示，“有很多黑客正在关注他们的漏洞。”一位人士告诉记者。

服从是一种侵犯

白帽子的反映：黑就是白，白就是黑。乌云上的白帽子确实是白帽子

“客观来说，五云网解决了黑客与厂商之间的信任问题，降低了沟通时间成本，降低了终端客户可能面临的安全风险等问题。”互联网安全监管机构告诉记者。关键问题是：成千上万的白帽子是如何发现各行业、各大公司网站的漏洞的？即使确实存在漏洞，获取该漏洞的过程是否合法？

11月18日，某科技公司“yuange1975”的一条微博引发热议。 “这些人不会冒着生命危险为他人取得成功。”我不同意厂家因为这个理由抓这些人，但是如果他们真要抓人的话，只需要几分钟的时间。

引起业界众多关注的消息是在11月17日，一名名为NILIU的白帽子“在银行网点的管理系统上执行了一条命令，导致服务器易受此漏洞影响，但具体信息并未披露。”虽然没有，但仍然引起了业界的关注和关注。

“谁允许你测试这个网站的漏洞？你是怎么得到这个漏洞的？如果他们要因为这个漏洞逮捕你，那是有道理的。”一位网友“互联网游侠”这样评论，并悄悄黑了它。我看着这个网站，尖叫道：“停下来！”发现漏洞的过程往往是非法的过程。

“黑就是白，白就是黑，乌云中的白帽子才是真正的白帽子，很多白帽测试渗透过程完全就是一系列的渗透、破坏、信息窃取的乌云平台会员。”于小葵发微博反思。

“我向五云网提交的漏洞与黑帽捕获漏洞的方式类似，都是私下、秘密利用，提前通知相关部门和厂家。“老K”承认，这其实是作弊行为。违法行为。 “所谓的白帽子本质上就是黑客，但黑客听起来并不好听，没人愿意承认。”

“老K”并不想透露他到底用什么方法渗透公司内网并获取公司漏洞的细节，但这次入侵的想法很大一部分来自于五云网。你说你是——的。事实上，五云网不仅是一个第三方漏洞提交平台，也是一个漏洞学习、交流、研究平台。其中一些策略只有白帽子才能看到，而另一些策略则是公开的。例如，2013年11月22日，万向网吧发布了《“来往”致淘宝账号被破解波及余额宝支付宝》。该漏洞原为盛大旗下子公司，后被盛大出售给杭州数网科技，该漏洞于今年2月被测试。攻击流程、技巧、操作方法都非常详细，可见获取漏洞本身就是一种未经授权的入侵。

几位知名白帽人士现身发言。去年10月19日，一位名为“only_guest”的著名白帽子在五云网发布《我是这样搞定全省万象网吧的(网吧渗透测试实例，超详细)》个技术帖子，利用微信账号安全盗取多位明星的微信账号和手机号，并声称已成功破解。配置漏洞，将会作为证据被曝光。

截图显示，白帽子选择更改刘岩和马化腾微信账号密码，才成功破解了他们的微信账号。一个是名人柳岩的代表，另一个是腾讯的高管。这两个人的微信账号，该账号获取了刘岩先生和马化腾先生的微信ID或者QQ号，并且还使用了腾讯高管的号码给马化腾先生发送了消息。

因此，获取漏洞本身就是黑客的一个渗透过程。 “我们经常看到乌云网的一些白帽子渗透到企业内网报告漏洞，然后你跑进屋拍几张熟睡的女主人的裸照，然后通过电子邮件发送给她。而如果你看这些照片，XMD5解密网站的负责人王利辉也评论说哪些网站受到了白帽测试，但没有人负责。估计如果乌云不能正确引导这些白帽子的话，总有一天会有一些白帽子哭泣。

“如果身份验证问题处理不当，提交给五云的漏洞报告可能会成为入侵的证据。”武汉大学计算机学院副教授、信息安全博士彭国军表示。

“乌云网也深知这一点，并已在声明中对冲了提交漏洞的问题，与乌云无关。”“老K”说道。根据乌云网信息安全保护声明，白帽注册必须通过邮件确认，确认提交虚假漏洞信息的用户后，乌云网将视情况对用户进行扣分或直接删除用户。同时，五云网还强调，对于白帽调查漏洞所使用的方法、手段、工具和手段的合法性不承担任何法律责任。

11月19日，提交该漏洞的白帽子NILIU大概是基于行业讨论和其他担忧，在乌云网发布了有关该漏洞的声明，称：窃取你的所有数据。只需截图即可证明。 ”

但律师认为，乌云网的声明并不能免除其责任。 “如果无云网是‘善意黑客’，其唯一目的是帮助企业修补漏洞，那么无云网会披露其发现的漏洞，而不是公开。客人必须起诉酒店，因为酒店入住涉及个人隐私。” “如果酒店起诉五云网侵权，五云网也会面临问题。”上海源源律师事务所的陈先生表示。军事律师的分析。

也许更严重的是，既然乌云网很难识别“白帽子”的真实身份，那么像“老K”这样的“白帽子”的真实身份是否是竞争对手的恶意攻击呢？别有用心的，有关漏洞的消息可以伪装成白帽子，伺机发动攻击。

这并非没有根据。 2011年12月29日，五云网宣布服务中断并进行短期系统升级，理由是“经常被公开的安全事件及其影响”。 —— 据国家互联网信息办公室消息，CSDN和天涯网站也被攻陷。这是网友的个人行为，去年12月4日在乌云网发帖称，网名为“臭小子”的徐某某炫耀CSDN等资料的密码。此外，乌云网白帽子“我心飞扬”因涉嫌对京东敲诈勒索罪被刑事拘留。 com。

科普百分百致力于中国科普，在网上和生活中传播科学知识。温馨提示：以上内容科普在线阅读浏览率100%。复制和分享的唯一目的是传播知识、促进学习。如果您有任何意见或建议，请告诉我们。请留言，我们会及时回复。感谢您的关注。