年前国内大规模用户资料泄密事件始末调查

云篇：乌云是谁

如果不是这起规模巨大的泄密事件，或许广大网民还不会如此迅速地知道这个叫做“乌云”的漏洞报告平台。

从2011年12月4日最初的漏洞报告开始，原本名不见经传的乌云网，因近期一系列网站泄密事件而声名鹊起。该网站先后曝出CSDN、天涯、当当、京东商城等网站存在安全漏洞。

这是一个最初由几名从事安全行业的自愿者发起搭建的位于厂商和安全研究者之间的安全问题反馈平台，目前为非盈利。截至目前，共有500多位研究人员为120多个企业提交了接近4000个安全问题。

据乌云相关负责人WooYun介绍，乌云平台最初招募了一些 “白帽子”(WhiteHat，即正面、合法的黑客，现实生活中的身份是安全专业人士——编者注)，主要的安全研究人员包括互联网公司安全工程师、安全公司安全研究员以及安全技术爱好者，他们将发现的厂商漏洞问题提交乌云平台，由乌云平台告知厂商，乌云平台会事先设定一个月时间让厂商确认该漏洞以及修复问题，若一个月后厂商依然没有解决问题，乌云平台则将漏洞信息对外公布。

“我们只是对白帽子前期的身份进行核实，而对于其反映的厂商情况，则需要厂商自己去核实。”WooYun表示。

WooYun告诉《每日经济新闻》记者，他们发现，厂商对安全问题并不特别重视，采取的态度一般是忽略或者根本就矢口否认，而这也造成了越来越多的安全研究者不再主动向厂商提交安全问题。

事实上，这种漏洞信息的披露是一把双刃剑。如果厂商没有足够重视而被黑客利用的话，可能会起反作用。这也意味着乌云平台的信息披露存在一定的风险，尤其在此次“泄密门”之后，乌云频频出击，身不由己地站上了风口浪尖。

WooYun坦言，现有平台作业的确有不够完善之处，因此，12月30日，乌云网宣布暂时关站，进行系统升级。