烏雲網高層被捕事件

在互聯網世界，烏雲網一直扮演著“守護者”角色。但烏雲網模式自誕生起，就一直行走在灰色地帶，因而備受爭議。烏雲網此次危機，正是這一灰色地帶的風險爆發所致。

“我出去躲兩天。”

方小頓顯然沒有意識到事態的嚴重性，前不久，他在朋友圈發“跑路”資訊時，還配上了一組做鬼臉的微信表情。以IT男為主的好友群體紛紛點贊，並配合字裡行間的輕鬆姿態，附上留言：“方小遁”。

他終究沒能“逃遁“成功。2016年7月20日，著名漏洞報告平臺烏雲網（Woo Yun）貼出“服務升級”公告，網站一時無法訪問。與此同時，南方週末記者從多處信源獲悉，包括方小頓在內的“多名高管被抓”，烏雲網被迫停擺。方小頓網路ID叫“劍心”，是烏雲網的創始人之一，也是赫赫有名的“白帽子”駭客。

“往往不是黑帽子或者白帽子，而是斑馬，白天黑，晚上又洗白。”付德明對南方週末記者說，漏洞提交前，黑帽子與白帽子的身份界定模糊，提交後公佈環節的流程不規範，造成烏雲網模式自誕生起，就在法律與道義上備受爭議。付德明在一家世界500強公司做企業網路安全防衛工作。

針對近日網上流傳“白帽社區平臺烏雲網多名高管被捕”一事。財新記者從多個管道確認，烏雲網近十多名團隊成員被警方帶走，包括烏雲網創始人方小頓。目前，各方尚不清楚烏雲網因何出事。

  “事情發生得很突然，烏雲網的人自己也不知道出了什麼事。”一位接近烏雲網的知情人士告訴財新記者，“大概一個禮拜前，是下午，烏雲網近十多名團隊成員被警方帶走。烏雲網的人說，當時沒有什麼手續，也沒有通知。”

  上述知情人士向財新記者透露，烏雲網創始人方小頓當天被帶走。財新記者多次聯繫方小頓，未獲回復。方小頓的微信朋友圈早已于7月18日停止更新。他在最後一條朋友圈裡稱，“比天賦更重要的是變強起來的勇氣，希望回來能有更好的自己。”當時的他還在朋友圈裡推薦烏雲的一款產品“唐朝安全巡航”，並配上大笑的表情。

  7月8日-9日，方小頓曾在2016年烏雲白帽大會上公開露面。當時，他與中科院軟體研究所研究員丁麗萍、公安部網路安全專家童瀛等業內知名人士一起探討系統漏洞披露模式的邊界問題。與會人士介紹，當天的方小頓看不出有何異樣，情緒也很穩定。

  另一位與烏雲有合作往來的人士稱，當時帶走的人裡面沒有烏雲市場負責人鄔迪。財新記者試圖聯繫鄔迪，但他的電話已處於來電轉接狀態。

  7月19日，烏雲網已經無法登陸。7月20日淩晨，烏雲發佈了一則升級公告，稱為了更好地向使用者提供服務，烏雲及相關服務將進行升級。在這則公告裡，烏雲還稱，“我們將在最短的時間內，以最好的姿態回歸。”但直至7月28日，烏雲仍處宕機狀態。

  上述與烏雲有合作往來的人士向財新記者透露，烏雲網並非相關部門封掉了，而是烏雲自己的人決定停掉，估計是規避風險。“8月上旬，成都將召開一個有關網路安全的大會，本來是邀請了烏雲的人做演講。現在也取消了。”一位接近烏雲的人士稱。

  一位多年活躍在烏雲平臺上的白帽對財新記者表示，真實的情況到底是什麼很難知道。關心烏雲的人基本都在默默地等著，希望烏雲趕緊恢復。

  事出原因不明引猜測

  烏雲網出事消息傳出後，白帽們及互聯網圈內人士紛紛猜測其出事原因。大體有三種說法：一是杭州IT人士袁煒在烏雲平臺提交了世紀佳緣網站系統漏洞，世紀佳緣按照慣例修復漏洞並致謝烏雲網之後，突然以“網站資料被非法竊取”為由報警。之後北京朝陽區人民檢察院於2016年4月批捕袁煒。檢方已決定對袁煒提起公訴，烏雲可能受到牽連。二是烏雲平臺上的白帽測試了相關政府部門的網路系統，烏雲受到牽連。三是7月全國多名愛滋病患者資訊被洩漏，烏雲因在平臺上公佈過中疾控疫情網存在系統漏洞受調查。

  中國互聯網協會信用評價中心法律顧問趙佔領分析，烏雲網受世紀佳緣事件影響的可能性不太大。按照相關法律，技術人士利用漏洞機會實施犯罪行為，比如獲取資料、破壞系統等。這些行為本身不是在平臺上發生的，而是發生在平臺之外的行為。平臺做的只是將漏洞通過圖片、文字等形式公佈出來，平臺的行為也可能是法律問題，但不是犯罪問題。

  “平臺涉及的法律問題可能包括白帽發佈漏洞不實或不準確，平臺因對漏洞資訊負有審核責任，造成共同侵權。”趙佔領認為。

  “白帽”社區邊界在哪裡？

  烏雲網的定位是一個位於廠商和安全研究者之間“自由平等”的漏洞報告平臺，由原百度“80後”高級安全工程師方小頓聯合幾位同行創辦，2010年5月正式上線，核心的運營思路遵循開放和分享的原則。

  短短6年間，烏雲被業內譽為中國最大的白帽聚集地，2014年大概有近5000名白帽活躍在烏雲網上。按照互聯網圈普遍定義，白帽是指擁有高超的互聯網技術，能夠發現網路漏洞或風險點，但並不以此作惡的人。

  “白帽發現漏洞，烏雲審核通過，會提供給相關公司讓其認領並修復。只有在相關公司不認領的情況下，烏雲才會在平臺上向公眾予以公開。”上述多年活躍在烏雲平臺上的白帽向財新記者介紹，“報告漏洞都是免費的，烏雲並不向企業收費，是非營利性的機構。”

  按照烏雲的流程，一般10天向核心白帽子公開其漏洞細節，20天向普通白帽子公開，30天向實習白帽子公開。直到45天之後，企業仍未主動認領漏洞，則會向公眾公開其細節。

  一位元熟悉烏雲運作模式的人士稱，從商業盈利的角度，烏雲現在也會接受商業公司的委託進行安全測試，譬如烏雲的一些產品唐朝安全巡航、安全眾測等。但這與白帽主動在烏雲平臺報告漏洞是完全分開的。

  白帽在未經公司允許的情況下是否能主動去測試其系統安全？按照相關法律，測試系統漏洞的行為不違法，就像你去敲敲門發現別人的門沒鎖立刻告訴別人，是善意提醒。但是，如果發現別人門沒鎖，進去別人家裡則另當別論。

  趙佔領認為，涉及白帽的犯罪行為主要有三種：一是非法侵入電腦系統罪，但該犯罪行為指的是被入侵物件必須是國家事務或國防系統。一般情況下，如果不是政府網站的話，白帽一般不會涉及；二是非法獲取電腦資訊資料罪，這個罪名成立需要有三個條件：必須要有入侵或者通過其他方法獲取資料，而且情節嚴重。“情節嚴重”包括金融機構的金融身份認證資訊達到十組以上，其他的身份認證資訊達到500組以上，或者是非法控制電腦系統等具體條件；三是操縱、破壞電腦資訊系統罪，包括控增加、刪除、修改、干擾電腦系統，或者是對資料有相應的刪除行為，甚至倒賣資料等。

  “這些年，烏雲上報的漏洞已經非常多了。如果是有駭客做了啥壞事，那應該是相關部門去查那個駭客，烏雲平臺輔助配合調查。”上述多年活躍在烏雲平臺上的白帽說。

“這次是攤上更大的事兒了”

“這次是踩上雷了，幫不了他們（烏雲網）了。”一位與烏雲網有業務往來的IT人士劉萍告訴南方週末記者。

劉萍介紹，實際上烏雲網已經被查處，多名高管也“被抓”。

7月19日，另一家互聯網測試平臺漏洞盒子宣佈，暫停接受互聯網漏洞與威脅情報。而且，“白帽子”駭客報告漏洞的頁面已經無法查看。漏洞盒子也發佈了公告，稱“要對流程制度、規範等進行梳理”。

烏雲網成立於2010年5月份。在一期視頻演講節目中，方小頓回憶，自己在百度做網路安全方面的工作時發現，國內除了BAT等幾個巨頭之外，很少有公司有強烈的網路安全意識，並且願意耗費時間、精力保護使用者的資料資訊。所以，有了成立一家平臺，敦促企業注重安全的念頭。

以網路ID“劍心”為身份，在互聯網駭客江湖小有名氣的方小頓，聯合幾位同道者，成立了烏雲網。其宗旨是成為“自由平等”的漏洞報告平臺，為電腦廠商和安全研究者提供技術上的各種參考以及漏洞bug的修復。

據《電腦報》報導，烏雲網的成名戰發生在2011年年底。當年11月，烏雲網根據白帽子提供的各種材料，連續披露京東商城、支付寶、網易等互聯網巨頭存在高危漏洞，12月29日更是指出支付寶1500萬至2500萬使用者資料洩露，以及一家政務網444萬使用者資訊洩露。

此後，烏雲網又相繼披露出酒店開房資訊洩露、支付寶漏洞、搜狗流覽器洩露使用者資料、騰訊7000萬QQ群使用者資料洩露等一系列重大的漏洞事件。

中科院軟體研究院博導丁麗萍曾參加過烏雲網組織的圓桌會議。她對南方週末記者說，一直以來，烏雲網爭議的焦點是，有沒有權利檢測別人的漏洞，以及有沒有權利公開漏洞——即便有著高尚的出發點。

直到2015年12月，在烏雲網上提交漏洞的“白帽子”第一次“出事”。2015年12月，杭州的IT人士袁煒，在烏雲提交了他發現的世紀佳緣網站系統漏洞。

在世紀佳緣確認、修復了漏洞，並按烏雲平臺慣例向漏洞提交者致謝後，事態竟急轉直下，世紀佳緣不久後以“網站資料被非法竊取”為由報警。2016年4月份，袁煒被司法機關逮捕。

袁煒妻子戴女士告訴南方週末記者，袁煒是嚴格按照烏雲網的發佈流程提交的漏洞，但是世紀佳緣在追究責任時，“繞過了烏雲，以及袁煒白帽子身份”。她說，袁煒的案子目前仍未出結果。

有人將此次烏雲網停擺與世紀佳緣漏洞相聯繫，認為是上次事件的發酵。但是付德明予以否認。

休矣！烏雲網攤上大事兒了：自己作死烏雲網的創始人方小頓

“探地雷”與“撬保險箱”

根據此前發佈的《烏雲網漏洞審核機制改進公告》，白帽子駭客發現某處漏洞後，向烏雲網提交漏洞，烏雲網審核確認後，會把漏洞的概況在烏雲平臺上公佈。

其中，普通漏洞披露流程為5天廠商確認期，10天向核心白帽子公開其漏洞細節，20天向普通白帽子公開，30天向實習白帽子公開。直到45天之後，企業仍未主動認領漏洞，則會向公眾公開其細節。

付德明認為，這其中的每一個環節的正當性，都值得深入探討。

他舉例說，有相應技術的駭客們，“黑”進一家企業的系統並發現漏洞，相當於一個江洋大盜撬開了銀行的保險櫃。按照白帽子、黑帽子約定俗成的分野，黑帽子駭客會直接將保險櫃中的財寶席捲一空；但是白帽子駭客的做法，是並不偷拿保險櫃中的“一針一線”，而是好心好意告訴銀行，保險櫃的鎖不夠安全，應該及時加固，更有甚者，會告訴銀行加固的方法。

付德明說，理論上看，即便銀行大門敞開，外人也沒有權利貿然闖入。

退一步講，如果銀行的保險櫃失竊，丟沒丟東西，只要清點一下數目即可，但是數位化的系統對於“闖入者”性質認定就極為複雜，因為資料有著極其容易複製的特性，偷看資料、複製資料都可以非常隱蔽地進行。

“資料沒有丟失，但不代表沒有被偷看、複製。”他說。

“白帽子駭客說，我只是發現了漏洞，沒有偷看，更沒有複製，這在技術上比較難以界定。”丁麗萍兼任中國電子學會電腦取證專家委員會主任，她說，電子取證在技術上極為困難，因為類似於截屏這樣的行為，很難去追查。

於是，駭客們將一家企業的漏洞提交給烏雲網平臺之前，可操作的空間便已經很大。“說不定已經把資料賣了個遍，轉了幾手之後，再提交的。”付德明認為，在提交漏洞第一個環節發生之前，很難將白帽子與黑帽子的性質區分開來。

專注于網路安全領域的盤古網路技術有限公司創始人韓爭光告訴南方週末記者，他本人並不喜歡“撬保險櫃”的比喻，因為這帶著一種偏見，認定駭客們一定會做壞事。但是實際上，確實有很多具有“俠客”精神的白帽子，只是單純為了發掘漏洞，再提醒廠商修補漏洞，並不洩露資訊。

“一些白帽子提醒企業後，只能得到很微小的獎勵，這與他們的勞動很不成正比。”韓爭光說。

相較於“撬保險櫃”，他更喜歡用“排地雷”的比喻。韓爭光認為，囿於開展業務的需求，系統記憶體儲著大量的使用者資訊，這屬於公眾利益的一部分，企業有義務、有責任，對這些資訊的安全負責。

但是事實上，絕大部分企業安全意識淡薄，並不怎麼把使用者的資訊安全放在心上。白帽子檢測系統漏洞的行為，相當於排除地雷，倒逼企業不斷修復、加固系統，起到了維護公眾利益的作用。

世紀佳緣選擇報警之後，在業界引起較大反響。很多人認為，堵住烏雲網平臺這一正常途徑後，只會逼迫白帽子轉黑，最後損害的還是用戶利益。

但是，排除白帽子提交漏洞之前的動機不論，付德明認為，烏雲模式當中，審核、發佈漏洞的流程也值得商榷。

他分析說，白帽子提交了漏洞之後，平臺要對這一漏洞的真實性進行審核，而審核的環節，其實是對系統的該處漏洞，又“攻擊”了一次。

審核通過後，平臺會將一部分漏洞通知企業，提醒其加強防範。但是也有大部分漏洞提醒直接發在平臺上，等待企業認領。

“所謂的認領，不是主動找企業，而是等著企業主動找上門。”付德明說，在這一環節，一些安全意識較強的互聯網巨頭，會有專門的安全職位負責在不同平臺巡視，所以能夠及時發現公佈出來的安全隱患，早做溝通，予以解決。

但是絕大部分企業並不知道白帽子在平臺上作出了提醒，“甚至不知道烏雲網的存在。”所以即便是後來傾向于認為白帽子是在做好事，也沒有趕過去認領，因為這一環節只留給企業5天時間。

過了5天的認領期限，平臺會分批次向不同等級白帽子公佈漏洞的大概情況。“這個時候，還不會公佈細節，只是一些大概情況。”付德明說，到了這一步驟，情況變得糟糕起來，因為白帽子數量很多，即便不公佈細節內容，也會有數量龐大的駭客開始在公佈的系統提醒上挖掘，“像蒼蠅一樣，總會找出漏洞在哪”。

所以，從企業利益的角度出發，發現漏洞越及時，挽回損失的餘地越大。

如若在這一環節當中，仍未見企業現身，45天后，烏雲網會在平臺上公佈漏洞的細節內容。

“告訴你哪裡門沒鎖，這實際上等於公佈資料資訊了。”付德明認為，平臺沒有權利公佈資料內包含的使用者資訊。

對此，韓爭光分析，烏雲網的提交、審核、發佈流程，借鑒了國外的經驗。之所以最後會有公開發佈漏洞細節的環節，是為了敦促企業加強安全防範。“企業應該加強安全意識，保護好使用者的資訊”。

誰來保障使用者資訊？

《南方週末》曾經報導，2015年4月，一位ID名為“路人甲”的網友在蘇甯的實體店裡購買了幾件電器後不久就多次接到400開頭的詐騙電話。他隨後對蘇寧系統進行測試，挖出了蘇寧資訊洩露的漏洞。

蘇甯易購方面表示，已向南京玄武區公安局報案，並會全力配合警方調查，但是不會對受害者進行賠償。

韓爭光認為，白帽子之所以有存在的價值，是因為企業資訊洩露後付出的代價很低，才需要白帽子們敦促企業，加強整個網路世界的安全級別。

在這個問題上，付德明部分同意韓爭光的看法。他認為，正常的邏輯應該是，使用者把珠寶存在銀行保險櫃裡被偷了，用戶不會自己去抓小偷，只需要銀行賠償損失即可。

如果網路世界也遵循這一條規則，企業將會對因為保管使用者資訊不嚴密導致資訊洩露付出慘痛代價，自然而然會加強安全防禦，白帽子便也就沒有存在的必要。

“銀行不會找小偷測試防盜門牢固不牢固，這個不用你提醒。”付德明說。

知名IT與智慧財產權律師趙佔領，曾代理過蘇甯易購資訊洩露案子。他對南方週末記者介紹，理論上企業要為洩露使用者資料承擔責任，但是資料資訊在技術上難以界定，“企業會說，這些資料不是在他們這裡洩露的，或者說，即便是他們洩露的，但是詐騙案不是利用這些資料進行的。”

趙佔領介紹，全國範圍內，用戶狀告企業洩露個人資訊的案件並不多，勝訴的更少。原因在於，用戶自身缺乏權利意識，再加上訴訟成本很高，且企業賠償的案例並不多。“發生過很多起酒店開房資訊洩露的事件，但是起訴的不多。”

丁麗萍介紹，新修訂的刑法286條，明確了企業保護使用者個人資訊的責任主體。如果能夠認真執行，企業漠視網路安全的情景應該會慢慢改變。

根據財經網、南方週末等綜合採編

【文章觀點僅代表個人觀點】