如何看待威客眾測信息泄露事件?

2015-08-27 13:50,烏雲發出漏洞「威客眾測某漏洞導致大量漏洞信息及安全從業者身份證/認證資料泄漏」。隨後威客眾測在漏洞頁面下回復:

致 烏雲網(http://WooYun.org) : 鑒於貴司網站於2015年8月27日擅自公開發布消息,聲稱:「威客眾測某漏洞導致大量漏洞信息及安全從業者身份證/認證資料泄漏」。對此,我公司予以嚴正聲明: 一、貴司未經我司授權,採取非法手段,獲取相關數據和信息,對此我司保留追究你司相關法律責任的權利; 二、貴司未經我司核實和許可,擅自公開發布、傳播嚴重侵害我司聲譽的信息,嚴重影響到我公司與客戶的商業關係,已對我司構成名譽侵權,對此我司保留追究你司相關法律責任的權利。 鑒於此,我司要求貴公司(烏雲網)於三日內刪除與我公司相關的該條信息,否則,我司將啟動法律程序予以維權,屆時一切不利後果均由你司承擔。 特此函告! 北京錦龍信安科技有限公司有限公司 2015年8月27日。

請問烏雲真的會惹上官司嗎?

傳送門:

1. 威客眾測某漏洞導致大量漏洞信息及安全從業者身份證/認證資料泄漏

2. 關於網路出現所謂威客眾測信息泄露事件的公告


1.作為一個企業,出了漏洞,沒關係,正確的面對它,處理它,才是最根本的原則,誰家不會出個漏洞呢,就如同一個孩子犯錯被批評,犯錯沒關係,知錯就改就是了,而不是「狡辯」自己年齡小,不懂事,犯點錯情有所原。相信這道理大家都懂,一個企業何況不是如此,更何況是一個作為安全圈比較知名的企業。

2.作為一個公關,這樣的公關換我的公司話必須拉出去打死,這能叫公關?當自己是BAT?水能載舟,亦能覆舟,舟舟相爭的時候,先考慮下下面承載著你們的水的感受好么?即使這公關戰爭贏了又如何?贏得了天下,卻輸了全天下!呵呵...

3.作為一個註冊過威客的人,這裡不能叫自己是白帽子了,因為作為一個白帽子,自己卻看不好自己的資料,莫大的悲哀,作為「一個註冊過的人」如此,作為一個企業亦是如此。只能正視自己,以後註冊傳資料時候要細細思量後而行。對我,對大家,對所有人都是如此!

4.扯了這麼多,別嫌我啰嗦!不是批評,也不是針對什麼,站在中立角度,只是想這裡希望問一個問題,

@威客眾測

在你們資料庫中把我註冊的資料刪掉好么?以後就當沒我這個人,反正大家也兩不相欠!你們也許不怕我們資料泄露,但是我怕得很!同時也希望烏雲,SOBUG等這些安全平台及各大企業SRC、企業能引以為戒,保護好註冊者的資料。他們要求的真的不多!


看了這麼多人評論吐槽,我也看不下去了。

匿了。。某威客眾測群 潛水看到的真相。。

1、烏雲漏洞平台確實提交這個漏洞,第一時間就有人把漏洞的地址鏈接發到群里了。

2、不到幾分鐘,就有人通過掃描器就掃到了這麼低級的錯誤。(官方可是說技術很深的漏洞。笑死我了)

3、威客官方說洞主泄露的信息,讓洞主負責任,讓烏雲負責任,這個平台最基本的信息都沒有去核實就發各種公告,公關水平真強。

4、自己被ddos還賴到烏雲上,真是笑死。還說烏雲是你們的競爭對手,我也是醉了。自己沒項目(有項目內部人消化,平台上的數據造假,沒什麼項目,我就呵呵了)

大概是當天13點左右,有人反饋說漏洞的事情。

該群里有人說這J8漏洞真6啊。

馬上就有該群威客白帽子「嗯『」 把漏洞細節直接發出來了,當然看到這個漏洞,大家肯定呵呵了,細節是誰發出來的,為什麼猜到?

13點02分,大家都看到是目錄遍歷了。。呵呵呵呵呵

馬上就有很多人知道這個細節了。。。。

細節直接在某群公開了,懂點腦子都能發現吧?

樓下這個是群主吧? 「哈哈」

看下面的圖片,瀏覽器自動翻譯 威客眾測白帽子「MAX『」

緩存:時間8月17日14:34

數據:時間8月17日14:34

日誌:時間8月17日14:34

臨時:時間8月17日14:34

首發細節的威客內部群的「嗯「」 就說 他中午用御劍一掃就出來了..... 說明什麼問題呢?

怪烏雲咯,怪烏雲白帽子發現這個低級的漏洞,並且告訴他們咯?

呵呵呵呵呵呵呵呵呵。

我覺得不信的可以去某威客群里 核對下聊天記錄的時間就知道了。

誰在造謠,明眼人都知道吧?

披露狀態:

2015-08-27: 細節已通知廠商並且等待廠商處理中

2015-08-27: 廠商已經確認,細節僅向廠商公開

2015-09-06: 細節向核心白帽子及相關領域專家公開

傳送門:威客眾測某漏洞導致大量漏洞信息及安全從業者身份證/認證資料泄漏

漏洞已經對核心白帽子公開了。。

風險多大看圖哈。。

renzheng.tgz 你懂的

資質證書。。

手持身份證 拍照。

身份證正面

項目漏洞證明圖片上傳根目錄:

http://www.secwk.com/uploads/imgupload/

看到木有。。這個是京東的。。還有其他的

這些低危漏洞,沒有什麼影響真的。真沒有,只是身份證 、客戶漏洞證明圖片 細節嘛。。

都是小問題。。

真的,你們說呢。


漏洞還未公開,所以現在烏雲是不是在標題黨還不能定論,但是讓白帽子覺得不舒服的,是wk的回復:

這句話問題很多啊,簡直不像專業坐安全的人說的話。

1.首先,DDoS與目錄遍歷沒有直接關係,目錄遍歷是根據文件路徑可猜測的規律的越權的訪問,屬於邏輯漏洞。當然,你可以遍個故事強行扯上關係。

2.這並非長期存在的問題。這句顯然是無力的洗白,而且暴漏了自己的很low的安全觀,作為安全廠商,屬於自黑。

3.「低危圖片目錄遍歷」,這句話我真的很無語了,安全圈一個最基本的共識就是,高危漏洞是以是否威脅業務數據為準判定的,與漏洞本身的技術含量和漏洞類型並無直接關係。

所以,我個人認為wk作為安全廠商不可能不懂這個道理,這句話不像是說給圈內人聽的。

我有一種感覺,從頭至尾wy都沒正面表過態,這事兒反倒是wk方面嚷嚷起來的,到處求贊求轉發,而且看下圖,是不是水軍你自己長著腦子呢,誰高誰下,立竿見影。

還有件事忍不住想吐槽,你打開wk官方網站,找到戰隊一欄,往下翻。自稱有四百多個戰隊的,自己看吧,連名字都糊弄,爬蟲再爬一會兒就變成800個了。而烏雲的戰隊每個需要審核,每個成員提交過什麼bug都是透明的。

再說說wy,(方小頓,別回頭,就說你呢)。一件事物在發展過程中不可避免的會出現些問題,比如說標題黨,我服務的客戶也被標題黨坑過,順帶著連我也坑了,當時我非常生氣,氣的是我一直信任的烏雲竟然能坑了我,即便是這樣,我也認為有節制的曝光漏洞在大的層面來說依舊是件好事,儘管這個過程中會使得一些人比較痛苦。所以也希望wy在審核制度上愈發完善,杜絕標題黨。

都實在點,不好么。

最後,以上皆為胡扯,各位看官不必當真,尤其是法律意識特彆強的。


它居然是做安全的,你敢信??


那個漏洞只是個非常低級的漏洞,沒什麼好說的。

威客只是個騙風投的網站,也沒什麼好說的。

烏雲會惹上官司嗎?這事說起來就長了。

這幾年下來烏雲上爆的漏洞那麼多,各大廠商、相關部門、背地裡搞黑產的全得罪了,明著暗著想搞烏雲的多了去了,天天有人要報警,要打官司,網站天天被DDOS,每晚九點準點大姨媽……

如果烏雲的漏洞報告、公開的流程中,烏雲網站的安全性上有任何問題,烏雲早沒了。

如此一個平台不是一家號稱有上萬白帽子卻只有幾十個眾測項目的,連自己網站的安全性都無法保障的平台所能匹敵的。


貴司未經我允許和核實便當眾提醒我沒有穿褲子!對我的形象造成了惡劣影響!我有權要求貴司自戳雙目!…


之人


厚顏無恥


我從未見


不是長期存在就是不存在!不是長期強姦就不算強姦!這是軟文排名第一的某眾測的價值觀,呵呵,什麼漏洞,我從未見。


自己有問題還怪別人曝,就這覺悟還混安全!


威客眾測典型的耍流氓行為,公關能力差勁無比


事發的時候正在威客眾測的群裡面 上面那個匿名的哥們傳的圖片真實客觀。

以下說下自己對於這件事情的看法

首先:除了洞主和眾測官方,誰也不知道到底泄露從業者信息沒有,只有等漏洞公開的時候才知道。不過按照這一事件的發展,個人認為泄露的可能性比較大。

另外說下烏雲,滲透測試本身就非授權的,無論你說你是好心還是其他的的,反正有一條逃不了,不合法。以前習科也提出過烏雲監管的問題。

三問烏雲「白帽子」:有些人這輩子洗不白了

三問烏雲「白帽子」:有些人這輩子洗不白了

威客眾測固然做的不好,但是同時也希望這次能夠同時正視烏雲監管的問題。


這事戳中了威客的痛點,他們當然跳起來了。

威客眾測的商業模式其實是打著眾測的旗號做傳統安全服務:1.以眾測的名義讓白帽子到網站註冊並填寫身份證等個人信息;2.靠眾測的名義和CXL的個人公關方式拿項目;3.一些傳統的甲方會需要提供滲透測試人員的身份信息(然而這種所謂的監督機制並沒有什麼卵用),人員數量越多越好。這時白帽子的數據就有用了;4.項目的實際落地全部是由威客自己人完成,根本不是什麼眾測。

所以作為白帽子我們並沒有參加過任何一次威客的眾測,倒是個人的信息被他們利用作為項目工具了,烏雲披露的這次事件正是一次真實的打臉。

平心而論,眾測是一種非常牛逼的服務模式,讓企業找到了最好的安全測試效果也讓白帽子的能力得到了獎勵。烏雲眾測的成功已經證明了這種方式的可行性和前景。可惜像威客這樣掛羊頭賣狗肉卻依然會有企業買單,實在讓人捉急。

希望烏雲能夠挺住,堅持正確的道路。不過像威客這樣的公司劍心瘋狗他們應該也見多了。

利益相關:烏雲白帽子,目前在某互聯網公司從事風控


最近看威客眾測,好像被烏雲盯上一樣,連續被爆,一波還未平息,一波又起,是有點悲催啊。

難道烏雲和威客眾測,真的要撕逼嗎

烏雲一個漏洞提交,下面一群刷Rank的,也是夠了,....什麼鬼

有技術的黑客,在烏雲上報,烏雲和廠商談判,然後在烏雲做眾測,之前好像不少烏雲的白帽子被抓起來了,就是沒經授權就提交漏洞,感覺自己好像大義凌然似的,做了什麼特別偉大的事情,但是如果追究起來,倒賣的還是會有人來頂的,不過可能是提交漏洞的那個人啦

反過來想,做平台,做企業,有漏洞被提交是正常的,被人提交漏洞,第一時間確認一下,然後儘快給大眾一個交代,盡量減少用戶的損失。

說大家愛湊熱鬧,看撕逼,其實我也愛看


很正常么,不怕賊偷就怕賊惦記,威客被這麼多黑闊天天盯著,稍微一不留神就被日了


2015-08-27 15:39 | 威客眾測(烏雲廠商)

致 烏雲網(http://WooYun.org) : 鑒於貴司網站於2015年8月27日擅自公開發布消息,聲稱:「威客眾測某漏洞導致大量漏洞信息及安全從業者身份證/認證資料泄漏」。對此,我公司予以嚴正聲明: 一、貴司未經我司授權,採取非法手段,獲取相關數據和信息,對此我司保留追究你司相關法律責任的權利; 二、貴司未經我司核實和許可,擅自公開發布、傳播嚴重侵害我司聲譽的信息,嚴重影響到我公司與客戶的商業關係,已對我司構成名譽侵權,對此我司保留追究你司相關法律責任的權利。 鑒於此,我司要求貴公司(烏雲網)於三日內刪除與我公司相關的該條信息,否則,我司將啟動法律程序予以維權,屆時一切不利後果均由你司承擔。 特此函告! 北京錦龍信安科技有限公司有限公司 2015年8月27日


冥冥之中感覺,威客眾測在下一盤大棋啊。。。。。。。


一、可能是比較低級的漏洞,如部分目錄遍歷,但是目錄包含敏感信息,如身份證照片之類,所以可定義「高危」漏洞

二、威客的態度不可取,誰家沒有漏洞,坦然積極面對就好了。最後這種處理態度得罪了一群白帽子,沒有白帽子支持還能生存下去?! 話不多說看評論: 威客眾測某漏洞導致大量漏洞信息及安全從業者身份證/認證資料泄漏


惱羞成怒


推薦閱讀:

低端製造業以及人口紅利退去後,未來中國經濟的增長點在哪?
影響樂視 2017 上半年虧超 6 億元的原因有哪些?
如何不讓google.com跳轉到google.com.hk?
如何評價Windows 10 for Raspberry Pi 2 ?

TAG:互聯網 | 烏雲WooYun | 烏雲眾測 |