揭秘：中國網路黑客根據地，烏雲網

10 月 10 日，如家等酒店開房信息泄露;10 月 29 日，來往被指存漏洞波及支付寶;11 月 5 日，搜狗瀏覽器被曝存在重大安全漏洞;11 月 20 日，騰訊 7000 萬 QQ 群用戶數據被指泄露;11 月 26 日，360 出現任意用戶修改密碼漏洞;甚至連相關部門網站漏洞也被公布....。.

一系列泄露事件讓人們人人自危，也讓公布這一系列泄密事件的烏雲網聲名鵲起。人們在震驚相關企業不負責任同時，也對烏雲網充滿了好奇：這是怎樣的一個平台，背後又是一個怎樣的隱秘江湖?

「白帽子」聚集的黑客基地

「老K」說：自己是一名重塑黑客理想的白帽子

11 月 15 日，某咖啡廳。

距與「老K」約定的時間已過去了半個小時，記者用手機 QQ 給他發去一條消息：「到了么?」

「堵車快到了，還有幾分鐘。」「老K」回復。

又過了半個小時，「老K」仍未出現。又過了十分鐘，記者收到了一條「老K」發來的消息：「抱歉，我剛才在咖啡廳外徘徊了很久，想了想，還是 QQ 上交流比較好吧。」

「在這個圈子，真實身份是個秘密。除非完全信任你，否則不會告訴你全部。」對「老K」所在圈子有很深了解的本報網路工程師「董師傅」對記者說。

對普通用戶而言，「老K」所在圈子是一個很隱秘的江湖——「老K」在一家網路公司工作，表面上和普通人沒什麼區別。但晚上，他就成了某高手雲集的黑客團隊里重要一員，網名就是他的身份代表，通常只用 QQ 和外界交流。

2010 年，「老K」第一次將某個網站改了主頁，插入圖片與音樂，「與利益無關，那感覺很興奮。」老K說他們與販賣數據的傳統黑客不同，「我們的理想是重塑黑客精神。」「老K」把自己稱為黑客中的「白帽子」，他現在的樂趣在於尋找、測試和捕捉各大企業的安全漏洞，然後提交給第三方漏洞平台烏雲網。

「我有自己正當的工作，不靠那個牟利。」「老K」在烏雲網上的等級是普通白帽子，2012 年至今，他已在該平台上提交了 20 多條漏洞，大部分在廠商確認都已公開，涉及電信、傳統 IT 廠商、證券網站。「找到漏洞，就是要找尋所謂的後門，即作為「開門鑰匙」的用戶名和密碼。」

在普通公眾心中，神秘和危險是黑客的代名詞。但在黑客界，所有黑客被歸為三種類型：白帽子、黑帽子、灰帽子。像老K這樣「重塑黑客理想、不惡意利用而且公不漏洞」的就是白帽子。灰帽子擅長攻擊技術，但不輕易造成破壞。而黑帽子則是以盜取信息牟利為生。

很難統計目前中國有多少活躍的黑客，但公布一系列泄密事件的烏雲網，正是集結網路白帽子的主要力量。據記者不完全統計，目前至少有 4000 多名白帽子活躍在烏雲網上。「這些白帽子身份很複雜，有各大公司的網路安全工程師，有黑帽子洗白的，有 IT 從業人員，也有白領、律師甚至廚師。」「老K」說。「可以說，烏雲網聚集了全國最多的黑客，也是烏雲網讓白帽子這個詞語火爆起來。」

「烏雲網就是一個黑客聚集之地。」2011 年底，在接受某媒體採訪時，化名的烏雲網組織者「WooYun」也如此表示，這些黑客中的白帽子挖掘網站中的安全漏洞，在「黑帽子」利用它們之前，提交到平台上，或者向廠商報告，使廠商及時進行修復。

「烏雲之前，全是黑的」

烏雲網聯合創始人孟德說：在烏雲之前，(安全界)全是黑的

根據記者不完全統計數據，烏雲網首頁「最新公開」的安全問題達 1.5 萬個，「最新確認」漏洞近 1 千個，11 月 25 日至 11 月 28 日提交的漏洞也有 30 多個。從記者觀察來看，這些漏洞所涉領域中繁多，除了傳統的聯想、騰訊、中國移動等多家 IT 企業，還有中科院、各大銀行、國家航空、海關係統甚至政府各部門官方網站等核心網站。

「這些漏洞來源均來自民間安全研究人員，漏洞提交上來後平台會進行一個簡單的驗證，確定後就轉交給各個企業在烏雲的的安全介面人進行確認，廠商對其真實性負責。」孟德說。

烏雲網(WooYun)成立於 2010 年 5 月，主要創始人為百度前安全專家方小頓——這位 1987 年出生的國內知名黑客「劍心」，因在 2010 年 2 月和李彥宏一道參加湖南衛視《天天向上》節目，因為女友高歌一首而為人所知。此後，方小頓聯合幾位安全界人士成立了烏雲網，其目標是成為「自由平等的」的漏洞報告平台，為計算機廠商和安全研究者提供技術上的各種參考以及漏洞 bug 的修復。

「烏雲之前，你當他(安全界)全是黑的好了。因為沒有合理的漏洞提交渠道，一個所謂的善良黑客要提交漏洞可能會被廠商威脅 。」10 月 21 日，烏雲網對外發言人孟德對記者說，烏雲網的創立初衷之一是在廠商和白帽子之間建立一個溝通平台。

孟德，和活躍在烏雲上的白帽子一樣，他更願意讓人們叫他的網名「瘋狗」。自稱為業餘滲透師，web 安全愛好者。擁有 9 年互聯網安全經歷，烏雲網聯合創始人。

孟德如此描述烏雲網對國內安全界的重大貢獻：「有了烏雲之後呢，我們會告訴大家，漏洞你別亂髮，我們幫你跟廠商溝通，培養漏洞先給廠商的習慣.....。.把平台上的白帽子們思想和習慣給規範化、合理化......。.變成一支互聯網安全的中堅力量。」

根據孟德的說法，現在烏雲網員工都是「兼職」行為，由企業與合作夥伴的朋友共同支撐。「我們並不是一個組織，只是一個平台聚集了一些愛好安全技術的人。很多白帽子都來這裡分享漏洞，也只有得到核實並已經採取防範措施解決問題後才會被公開。」孟德說，此前由於溝通渠道的缺乏，「白帽子」即使發現了漏洞也很難將信息傳遞給網站，而網站也根本無法顧及散落在互聯網各地的漏洞信息，最終導致一些漏洞被人遺忘，未得到修復而造成損失。

烏雲網一炮打響是在 2011 年底——當年 11 月，烏雲網根據白帽子提供的各種材料，連續披露京東商城、支付寶、網易等著名互聯網企業存在高危漏洞，12 月 29 日更是指出支付寶 1500 萬至 2500 萬用戶資料泄露，以及廣東省公安廳出入境政務網 444 萬用戶信息泄露。

而此後，如家酒店等開房信息泄露、支付寶漏洞、搜狗瀏覽器泄露用戶數據、騰訊 7000 萬 QQ 群用戶數據泄露等一系列引起關注的泄漏事件均由烏雲網公布。

三方暗戰的江湖

對於烏雲網、廠商、白帽子而言，三者間亦是一個不為公眾所知的暗戰江湖。

根據《烏雲網漏洞審核機制改進公告》，普通漏洞披露流程為 5 天廠商確認期，10 天向核心白帽子公開其漏洞細節，20 天向普通白帽子公開，30 天向實習白帽子公開，45 天向公眾公開其細節。「超過周期廠商無回應，或者在期間內否認漏洞的真實性，烏雲網一般都會公開其細節。」「老K」說。

來自烏雲網官方的數據顯示，目前有 500 多家廠商與烏雲網有合作或被公布漏洞。對於烏雲網、廠商、白帽子而言，三者間亦是一個不為公眾所知的暗戰江湖。

「廠商是否應該給予烏雲網上的白帽子獎勵?」10 月 26 日，在京東安全沙龍上，一位參會者提出了一個引起熱議的問題。1 個月後的 11 月 20 日，烏雲網公布了一個「不太聽話」的廠商――稱騰訊 7000 多萬 QQ 群關係數據被泄露，在迅雷快傳很輕易就能找到數據下載鏈接。根據 QQ 號，可以查詢到備註姓名、年齡、社交關係網甚至從業經歷等大量個人隱私。

一位業內人士還對記者舉了一個例子：10 月 29 日，烏雲網公布了一個白帽子提交的漏洞，其標題為《「來往」致淘寶賬號被破解波及餘額寶支付寶》的漏洞消息，稱該漏洞處於等待廠商處理狀態，也就是說，用戶選擇通過淘寶帳戶登陸來往後，看到消息時仍可波及到支付寶餘額寶的安全問題。「據我了解，這位白帽子先把漏洞提交給了阿里官方，但阿里官方沒有理睬，後來這位白帽子氣不過，又提交到了烏雲網，烏雲網則對其進行了公布。」

這個漏洞消息帶來的後果之一是——在聲討支付寶安全漏洞的熱議中，根據媒體報道，在三元里做服裝生意的楊先生，其銀行賬號通過支付寶莫名其妙轉走了 5 萬元。隨後一名「黑客」發來簡訊自稱在測試支付寶漏洞時所為。

去年 2 月 14 日，一位網名為「zazaz」的黑客在國內安全問題反饋平台烏雲上提交漏洞，稱中國聯通客服系統存安全隱患，該漏洞在烏雲平台公布後，有部分用戶用於娛樂。而如家等酒店的開房信息泄露，更是在全國引起了瘋狂的下載、查詢開房信息風波。

這引發了人們的追問：烏雲網是否應該將漏洞公佈於眾?根據孟德的說法，在廠商未確認或駁回前，公眾不會看到漏洞的具體細節，黑客很難根據這些消息進行違法行為。但一位互聯網人士也對記者稱：「如果黑客對此有興趣，那麼只要知道企業名字和大概漏洞消息源頭，侵入這個企業並不是難事。」該人士表示，從他的觀察來看，烏雲網上的眾多待確認和剛提交的漏洞，甚至涉及到各個政府部門的安全問題，雖然沒有具體細節，但仍然讓外界用戶感到吃驚。

「廠商前方百計要把影響降到最低，要麼否認、駁回其漏洞，要麼乖乖和烏雲網進行合作。而烏雲網則千方百計想要炒作自己，虧大自己的影響。」「老K」說，而白帽子，也有自己的訴求，或為了名，或為了利，因此如果提交給廠商被駁回，一般都會提交到烏雲網。

對此，一位不願透露姓名的某互聯網企業高層人士對記者稱，對於烏雲網，他們也是頗為無奈。一方面，企業有自己的安全數據中心，隨時在對企業網站進行測試;另一方面，烏雲網亦不時公布些聳人聽聞的消息，炒作自己在業界的權威，不理睬也不行——但事實上，那些引起熱議的泄露事件，其漏洞早在幾個月前就已修復。

對於是否炒作的說法，孟德對此並不否認。「這其實是國內互聯網輿論的一個怪圈 ，只要是曝光率比較高， 或因為什麼比較熱門了 ，就可能會被認為是自我炒作 ，烏雲現在也在經歷這個怪圈而已。」

按照烏雲聯合創始人，原百度安全架構師「劍心」在知乎的說法，烏雲網得到「除了騰訊這樣的封閉企業的認可。」對此一位知情人士對記者稱，騰訊是唯一不對烏雲網上的白帽子送禮物或獎勵的廠商，相對應的，烏雲網上公布問題最多的企業也是騰訊——根據記者不完全統計，烏雲網公不的騰訊各種安全問題多達數百個。

送禮物或獎勵，是廠商給予提交漏洞的白帽子一種報酬。這種模式在美國很常見，去年，微軟還設立了一項 20 萬美元的獎項，懸賞能夠解決 Windows 操作系統中存在的內存漏洞的人;Google、Mozilla、Facebook 等則向發現本公司產品安全漏洞的研究人員，提供最低 500 美元的獎金。

但在國內，由於廠商對提交漏洞者的輕視或偏見，向第三方漏洞平台給予豐厚獎勵的比較少(360、騰訊、新浪等企業對自己漏洞收集平台則有獎勵規定)，大多是T恤衫、筆、水杯等等紀念禮物。烏雲網一名「白帽子」、在紐約證券交易所一家美國上市公司就職的一位企業架構師由於在烏雲網發布了一條小米網的安全漏洞，小米公司贈送了他一部小米手機以示謝意就讓他深感滿意。孟德認為，實際上，在相對「白帽子」花費不少精力找到的漏洞來說，這點激勵也算不上什麼。

但是廠商也有自己的委屈。「一是擔心漏洞信息給自己帶來負面影響，二是各家企業漏洞都不少，開了獎勵先河後，成千上萬名黑客都盯著自己的漏洞。」上述互聯網高層人士對記者稱。

一次提交，就是一次侵入

白帽子的反思：黑亦白，白亦黑。烏雲上的白帽子，真的是白帽子?

「客觀來說，烏雲網解決了許多問題，如黑客與廠商之間的信任問題，減少了溝通上的時間成本，降低了終端客戶可能面臨的安全風險。」一位互聯網安全觀察人士對記者稱，但一個重要問題是，數千名白帽子是如何發現各個行業、各大企業網站漏洞的?即便漏洞真實存在，獲得漏洞的過程是否合法?

11 月 18 日，某科技公司人士「yuange1975」的一條微博引起熱議：這些人膽子比較大哈，這種事情不要拿自己的命來成就別人。雖然我不贊成廠商因此抓這些人，但是如果真要抓人分分鐘鐘的事情。

這條引起眾多業內人士關注的消息是——11 月 17 日，名為「NILIU"的白帽子在烏雲網上提交了一個名為「某銀行某分行管理系統命令執行導致伺服器淪陷」的漏洞，儘管該漏洞並未公布詳細細節，但還是引起業內的關注與擔心。

「誰給你授權測試該網站漏洞了?你是通過什麼方式得到的該漏洞?如果要根據該漏洞抓你，那也是有根有據。」網友「網路遊俠」如此評論，悄悄的黑站，吆喝的不要。發現漏洞的過程，很多時候也是違法的過程。

「黑亦白，白亦黑。烏雲的白帽子，真的是白帽子?很多白帽子的測試滲透過程，完全就是一系列的入侵、破壞和信息盜取行為。」在騰訊微博，認證為「烏雲平台白帽子成員」的於小葵發微博進行反思。

「自己所提交到烏雲網的漏洞，和黑帽子捕捉漏洞的方式差不多，都是私下悄悄攻擊進行的，根本不可能提前通知相關部門和廠商。」「老K」對此承認，這其實也是一種違法行為。「所謂的白帽子，本質就是黑客，只是黑客不好聽，誰都不願意承認。」

「老K」不願詳細透露自己採用了哪些手段滲透進企業內網，獲得了企業的漏洞，但他表示很多入侵思路都來自烏雲網——實際上，烏雲網除了是第三方漏洞提交平台，還是一個獲取漏洞學習交流研究平台。這些攻略一部分只有白帽子可見，另一部分則對公眾公開。比如在 2013 年 11 月 22 日，烏雲網就公布了一份《我是這樣搞定全省萬象網吧的(網吧滲透測試實例，超詳細)》，萬象網吧原為盛大旗下子公司，後被盛大出售給杭州順網科技，儘管該漏洞測試時間是今年 2 月，但其中攻擊步驟、方式、操作手段都無比詳細，從中可以看出該漏洞的獲得本身就是一次違法入侵行為。

一些高調的白帽子則現身說事。去年 10 月 19 日，一位叫「only_guest」的知名白帽子在烏雲網發《微信任意用戶密碼修改漏洞》的技術帖，稱通過利用微信賬號安全的設置漏洞，成功地破解了多位名人的微信賬號和手機號，並公布為證。

截圖顯示該名白帽子在成功破解柳岩、馬化騰的微信賬號前，選擇修改了兩個人微信賬號密碼，一個是明星柳岩的經紀人，一個是騰訊的某位高管，並通過這兩位的微信賬號獲取了柳岩和馬化騰的微信號或 QQ 號，甚至用該名騰訊高管的號碼給馬化騰發了消息。

因此，獲取漏洞本身就是一次黑客的入侵過程。「我們經常可以看到，烏雲網上一些白帽子為了提交漏洞，而經常滲透進企業內網的過程。挖個漏洞需要上傳真實的 shell，進入內網轉一圈嗎?你看到別人家房門沒有關，然後你就跑進去給熟睡的女主人拍了幾張裸照，然後發到她的郵箱裡面說，你家門沒有關，你看這個照片就是證明，然後你還評論了一下，女主人的屁股還挺白。你讓人家情以何堪?」XMD5 解密網站長汪利輝在《白帽子看過來，漏洞平台那點事》中表示，白帽子測試的目標網站誰給你授權了?真出了問題，沒有人給擔著的。如果烏雲如不能正確引導這些白帽子，估計會有某些白帽子哭的一天。

「不處理好授權問題，提交到烏雲的漏洞報告就可能成為入侵證據。」武漢大學計算機學院副教授、信息安全博士彭國軍說。

「對此烏雲網也心知肚明，因此在聲明上做了風險規避，提交漏洞的事情和烏雲沒有任何關係。」「老K」說。根據烏雲網的信息安全和保護聲明，白帽子註冊必須通過郵件驗證，對於提交虛假漏洞信息的用戶在證實後，烏雲網將根據情況扣除用戶的 Rank 甚至直接刪除用戶。同時，烏雲網也強調，對於白帽子研究漏洞的方法、方式、工具及手段的合法性，烏雲網對此不承擔任何法律責任。

11 月 19 日，或許是基於業界的議論，或許是基於其他擔心，提交該漏洞的白帽子「NILIU」在烏雲網該漏洞下發布聲明表示：「此次測試未對系統做任何破壞，未竊取任何數據，只是截圖證明。」

但在律師看來，烏雲網的聲明並不能免責。「假如烏雲網是一名『善意的黑客』，其目的僅是為幫助企業修補漏洞，那麼烏雲網應該私下就找出的漏洞與企業溝通，而不是公之於眾。要知道酒店登記入住涉及個人隱私和資料，一旦信息被泄露不僅涉嫌對企業侵權，也涉嫌對個人侵權，假如客人因此狀告酒店而酒店再以侵權狀告烏雲網，那麼烏雲網就會很麻煩。」上海袁圓律師事務所陳軍律師分析。

或許，更為嚴重的是，由於烏雲網對「白帽子」真實身份難以確定，像「老K」這樣的「白帽子」，神秘身份背後到底是什麼?是否競爭對手的惡意攻擊行為?是否會發布虛假漏洞消息?對於心懷叵測的黑客來說，是否偽裝成白帽子潛伏其中，伺機而動?

這並非杞人憂天。2011 年 12 月 29 日，烏雲網宣布暫停服務，對系統做短暫的升級，原因是「頻繁披露的安全事件及帶來的影響——根據國家互聯網信息辦披露，CSDN、天涯網站被入侵事件也同樣是因為網友的個人行為，調查發現，網名 「臭小子」的許某某出於個人炫耀的目的，於去年 12 月 4 日在烏雲網上發帖稱 CSDN 等網站數據密碼被泄露，並公布泄露的數據包截圖。此外，一些白帽子甚至以信息泄露相要挾索要利益，烏雲網白帽子「我心飛翔」就因涉嫌敲詐勒索京東商城被刑事拘留。

科普百分百·助力科普中國，讓科學知識在網上和生活中流行起來。溫馨提示：以上為科普百分百網上閱讀所瀏覽內容，轉載分享只為知識傳播和學習宣傳，本文內容僅代表原作者觀點，如有意見建議，請私信留言，我們會及時處理。歡迎關注，謝謝。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！