中國網財經12月23日訊(記者 甄鼎丞) 相繼曝出如家等酒店客戶開房資訊洩露、攜程用戶銀行卡資訊洩露、支付寶賬號可任意登陸等高危漏洞後，烏雲網聲名大噪。

　　同時，烏雲網也遭受了很多誤解與攻擊。據介紹，烏雲網多次受到企業威脅，甚至曾有被某知名公司派人潛入機房拔掉網線這樣“可笑可氣”的經歷。而有媒體更是將“中國最大的駭客培訓基地”冠以烏雲網。

　　面對各方壓力，雖然曾一度面臨“關站”危險，但烏雲網依然堅持“第三方非盈利性組織”身份，堅持“不刪漏洞”、不接受投資。

　　盛名之下，其路也難。近日，中國網財經記者專訪到烏雲網的多位創始人。

　　烏雲：網路安全的烏托邦

　　2013年10月，公佈因第三方系統漏洞導致如家、漢庭等酒店的客戶開房記錄洩露。

　　2013年11月，公佈騰訊7000多萬個QQ群數據庫漏洞，洩露用戶備註姓名、年齡、社交關係網等大量個人隱私。

　　2014年2月，公佈淘寶和支付寶認證存在安全缺陷，駭客可以簡單利用該漏洞登陸他人淘寶和支付寶賬號進行操作。

　　2014年3月，公佈攜程網漏洞導致大量用戶銀行卡資訊洩露，其中包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin等敏感資訊。

　　烏雲網頻繁曝出震驚行業的重大漏洞，幾乎戰戰告捷。而同時，也將一個默默無聞的群體——白帽子推向公眾視野。

　　白帽子，可以理解為正義的“駭客”。雖然兩者都擅長網路技術、樂於尋找漏洞，但白帽子的做法是將漏洞公開、提交企業，而非駭客般竊取數據。

　　業內常把網路技術的攻與防比作是一場戰役，但在各位創始人眼中，烏雲網更有白帽子們的理想烏托邦的意味。

　　據介紹，2010年成立時，曾相識于知名安全論壇80Sec的創始人“劍心”方小頓和“瘋狗”孟卓，已在網路安全圈內已有一定名氣。彼時，方小頓在百度安全部門工作，孟卓則供職于新浪。當時他們還是用兼職時間的來運營烏雲網，而初衷就是能通過烏雲網促進網路安全資訊的共用，改善白帽子向企業提交漏洞時遇到的不公正待遇。

　　2012年，烏雲網獲得國家網際網路應急中心贊助，以更“接地氣”民間組織的身份，承擔部分“國家資訊安全漏洞庫”的工作。就此，“烏雲網成為有國家相關部門支援的民間的第三方非盈利性組織。”合夥人鄔迪給出定義。

　　5年過去，烏雲網已匯集白帽子6700余人，活躍白帽子1152人，日均上報漏洞百餘個。而烏雲網的月訪問量也達到170萬到200萬，日均訪問IP接近20萬。

　　澄清誤解：漏洞公開的福與禍

　　出於中立性考慮，烏雲網採取嚴格的漏洞公開機制。

　　白帽子發現漏洞後，由烏雲網進行初審，檢查描述、截圖等資訊證明真實性。資訊完善後漏洞立即報告給企業，由企業進行確認。

　　為保護企業資訊安全，漏洞將經過至少45天對外保密的流程。修復較快的雲端漏洞保密期限為45天，而瀏覽器、QQ等客戶端軟體保密期限為90天。保密期間，公眾只能看到漏洞標題和簡要描述，期滿後才對外公開。

　　正是由於中立而嚴格的公開機制，和任何情況下堅持不刪除漏洞資訊的做法，烏雲網博得了眾多白帽子的信任。同時，更多的白帽子願意在烏雲上公佈行業漏洞。

　　但作為民間的資訊安全平臺，公開機制也為烏雲帶來了不小的誤解和麻煩。

　　烏雲曾多次遭到企業的威脅甚至報復。據介紹，某運營商導要求刪除漏洞資訊未果後，直接斷掉了烏雲的辦公網路。另一次，“國內某著名網際網路公司派人偷偷潛入烏雲網機房，拔掉伺服器網線。”創始人孟卓又氣又笑地講述。

　　在孟卓看來，相比于烏雲網，企業自身更應該公開安全問題。但大部分中國企業在遇到問題時，首先想到不是妥善處理，而是先掩蓋，盡力不讓外界知道。

　　“中國和國外資訊安全上的差距，其實不是技術上的差距，很大一部分是理念和態度的差距。中國人責任二字觀念很強，出了事故先拋開責任。”孟卓如是説。

　　與企業的報復行為相比，來自媒體和公眾的誤解，更讓各位創始人“心寒”。

　　有媒體稱“白帽子也是駭客”，將“中國最大的駭客培訓基地”的帽子冠以烏雲網，甚至直言“大多數鬧心消息的發佈源頭就是烏雲網”。

　　面對種種誤解，孟卓則表現出更多的是無奈，“白帽子與駭客截然不同。駭客是黑色産業鏈的一員，目的是盜取數據。由於賺錢速度快，駭客的價值觀大多已經扭曲，斷然不會主動上報漏洞，自斷財路。”

　　“但如果沒有烏雲公佈漏洞，用戶永遠不知道個人資訊已經被洩露。”孟卓直言。

　　威懾黑産 促資訊共用

　　如今，網際網路已深入到生活的每個角落，同時網際網路也進入“雲”時代，越來越多用戶資訊都存儲在雲伺服器端。而雲技術在提升了用戶體驗、減低成本的同時，也顯現了其風險。“過去一個問題只影響一兩個用戶，雲技術之後可能影響上千萬的人。”創始人方小頓表示。

　　雲技術漏洞導致的資訊洩露，最大的收益者就是地下黑色産業(下文簡稱：黑産)。

　　而“由於利益巨大，黑産已經倡狂到失控的地步。”孟卓表示。

　　烏雲網正在聯合所有白帽子，與龐大的黑産進行竭力鬥爭。就在採訪時，烏雲網剛剛發佈兩個“令人震驚”的預警，130萬研究生考試報名資訊洩露和部分省市已亡人資訊洩露，黑産的騙子正在利用這些資訊瘋狂的進行詐騙。烏雲網也提醒可能涉及的用戶，提高警惕，以防被騙。

　　在孟卓看來，烏雲網就是對黑色産業最大的威懾。“過去黑産隱蔽于地下，行動非常自由。現在烏雲網會在盯著他們，隨時就把他們和同夥給曝出來。”

　　烏雲網另一個重要意義，就是給白帽子正確的引導。過去，安全技術只有兩條路，進入國家安全機構或進入黑色産業。而今，烏雲網提供了另一個平臺，既能合法的施展能力，還能獲得大家的認同。另外，烏雲網在向企業上報漏洞的同時，也可以幫助白帽子找到較好安全類工作，光明正大的做安全研究。

　　而對於行業，合夥人鄔迪總結稱“現今網際網路公司産品迭代過於快速，而忽視安全問題。烏雲網希望能夠一改各自為戰的狀況，將漏洞公開、共用企業間安全資訊，促進整個行業的發展。也希望企業能轉變對於安全的態度，積極解決問題而不是逃避責任。”