如何看待威客眾測信息泄露事件?
2015-08-27 13:50,烏雲發出漏洞「威客眾測某漏洞導致大量漏洞信息及安全從業者身份證/認證資料泄漏」。隨後威客眾測在漏洞頁面下回復:
致 烏雲網(http://WooYun.org) : 鑒於貴司網站於2015年8月27日擅自公開發布消息,聲稱:「威客眾測某漏洞導致大量漏洞信息及安全從業者身份證/認證資料泄漏」。對此,我公司予以嚴正聲明: 一、貴司未經我司授權,採取非法手段,獲取相關數據和信息,對此我司保留追究你司相關法律責任的權利; 二、貴司未經我司核實和許可,擅自公開發布、傳播嚴重侵害我司聲譽的信息,嚴重影響到我公司與客戶的商業關係,已對我司構成名譽侵權,對此我司保留追究你司相關法律責任的權利。 鑒於此,我司要求貴公司(烏雲網)於三日內刪除與我公司相關的該條信息,否則,我司將啟動法律程序予以維權,屆時一切不利後果均由你司承擔。 特此函告! 北京錦龍信安科技有限公司有限公司 2015年8月27日。
請問烏雲真的會惹上官司嗎?
傳送門:1. 威客眾測某漏洞導致大量漏洞信息及安全從業者身份證/認證資料泄漏2. 關於網路出現所謂威客眾測信息泄露事件的公告
1.作為一個企業,出了漏洞,沒關係,正確的面對它,處理它,才是最根本的原則,誰家不會出個漏洞呢,就如同一個孩子犯錯被批評,犯錯沒關係,知錯就改就是了,而不是「狡辯」自己年齡小,不懂事,犯點錯情有所原。相信這道理大家都懂,一個企業何況不是如此,更何況是一個作為安全圈比較知名的企業。
2.作為一個公關,這樣的公關換我的公司話必須拉出去打死,這能叫公關?當自己是BAT?水能載舟,亦能覆舟,舟舟相爭的時候,先考慮下下面承載著你們的水的感受好么?即使這公關戰爭贏了又如何?贏得了天下,卻輸了全天下!呵呵... 3.作為一個註冊過威客的人,這裡不能叫自己是白帽子了,因為作為一個白帽子,自己卻看不好自己的資料,莫大的悲哀,作為「一個註冊過的人」如此,作為一個企業亦是如此。只能正視自己,以後註冊傳資料時候要細細思量後而行。對我,對大家,對所有人都是如此! 4.扯了這麼多,別嫌我啰嗦!不是批評,也不是針對什麼,站在中立角度,只是想這裡希望問一個問題, @威客眾測 在你們資料庫中把我註冊的資料刪掉好么?以後就當沒我這個人,反正大家也兩不相欠!你們也許不怕我們資料泄露,但是我怕得很!同時也希望烏雲,SOBUG等這些安全平台及各大企業SRC、企業能引以為戒,保護好註冊者的資料。他們要求的真的不多!看了這麼多人評論吐槽,我也看不下去了。匿了。。某威客眾測群 潛水看到的真相。。
1、烏雲漏洞平台確實提交這個漏洞,第一時間就有人把漏洞的地址鏈接發到群里了。
2、不到幾分鐘,就有人通過掃描器就掃到了這麼低級的錯誤。(官方可是說技術很深的漏洞。笑死我了)3、威客官方說洞主泄露的信息,讓洞主負責任,讓烏雲負責任,這個平台最基本的信息都沒有去核實就發各種公告,公關水平真強。4、自己被ddos還賴到烏雲上,真是笑死。還說烏雲是你們的競爭對手,我也是醉了。自己沒項目(有項目內部人消化,平台上的數據造假,沒什麼項目,我就呵呵了)大概是當天13點左右,有人反饋說漏洞的事情。樓下這個是群主吧? 「哈哈」
看下面的圖片,瀏覽器自動翻譯 威客眾測白帽子「MAX『」 緩存:時間8月17日14:34數據:時間8月17日14:34日誌:時間8月17日14:34臨時:時間8月17日14:342015-08-27: 細節已通知廠商並且等待廠商處理中
2015-08-27: 廠商已經確認,細節僅向廠商公開2015-09-06: 細節向核心白帽子及相關領域專家公開傳送門:威客眾測某漏洞導致大量漏洞信息及安全從業者身份證/認證資料泄漏
漏洞已經對核心白帽子公開了。。
風險多大看圖哈。。
renzheng.tgz 你懂的
資質證書。。
手持身份證 拍照。
身份證正面
項目漏洞證明圖片上傳根目錄:
http://www.secwk.com/uploads/imgupload/
看到木有。。這個是京東的。。還有其他的
這些低危漏洞,沒有什麼影響真的。真沒有,只是身份證 、客戶漏洞證明圖片 細節嘛。。
都是小問題。。
真的,你們說呢。
漏洞還未公開,所以現在烏雲是不是在標題黨還不能定論,但是讓白帽子覺得不舒服的,是wk的回復:這句話問題很多啊,簡直不像專業坐安全的人說的話。1.首先,DDoS與目錄遍歷沒有直接關係,目錄遍歷是根據文件路徑可猜測的規律的越權的訪問,屬於邏輯漏洞。當然,你可以遍個故事強行扯上關係。2.這並非長期存在的問題。這句顯然是無力的洗白,而且暴漏了自己的很low的安全觀,作為安全廠商,屬於自黑。3.「低危圖片目錄遍歷」,這句話我真的很無語了,安全圈一個最基本的共識就是,高危漏洞是以是否威脅業務數據為準判定的,與漏洞本身的技術含量和漏洞類型並無直接關係。所以,我個人認為wk作為安全廠商不可能不懂這個道理,這句話不像是說給圈內人聽的。我有一種感覺,從頭至尾wy都沒正面表過態,這事兒反倒是wk方面嚷嚷起來的,到處求贊求轉發,而且看下圖,是不是水軍你自己長著腦子呢,誰高誰下,立竿見影。還有件事忍不住想吐槽,你打開wk官方網站,找到戰隊一欄,往下翻。自稱有四百多個戰隊的,自己看吧,連名字都糊弄,爬蟲再爬一會兒就變成800個了。而烏雲的戰隊每個需要審核,每個成員提交過什麼bug都是透明的。再說說wy,(方小頓,別回頭,就說你呢)。一件事物在發展過程中不可避免的會出現些問題,比如說標題黨,我服務的客戶也被標題黨坑過,順帶著連我也坑了,當時我非常生氣,氣的是我一直信任的烏雲竟然能坑了我,即便是這樣,我也認為有節制的曝光漏洞在大的層面來說依舊是件好事,儘管這個過程中會使得一些人比較痛苦。所以也希望wy在審核制度上愈發完善,杜絕標題黨。都實在點,不好么。最後,以上皆為胡扯,各位看官不必當真,尤其是法律意識特彆強的。
它居然是做安全的,你敢信??
那個漏洞只是個非常低級的漏洞,沒什麼好說的。
威客只是個騙風投的網站,也沒什麼好說的。烏雲會惹上官司嗎?這事說起來就長了。
這幾年下來烏雲上爆的漏洞那麼多,各大廠商、相關部門、背地裡搞黑產的全得罪了,明著暗著想搞烏雲的多了去了,天天有人要報警,要打官司,網站天天被DDOS,每晚九點準點大姨媽……如果烏雲的漏洞報告、公開的流程中,烏雲網站的安全性上有任何問題,烏雲早沒了。如此一個平台不是一家號稱有上萬白帽子卻只有幾十個眾測項目的,連自己網站的安全性都無法保障的平台所能匹敵的。貴司未經我允許和核實便當眾提醒我沒有穿褲子!對我的形象造成了惡劣影響!我有權要求貴司自戳雙目!…
之人
厚顏無恥
我從未見
不是長期存在就是不存在!不是長期強姦就不算強姦!這是軟文排名第一的某眾測的價值觀,呵呵,什麼漏洞,我從未見。
自己有問題還怪別人曝,就這覺悟還混安全!
威客眾測典型的耍流氓行為,公關能力差勁無比
事發的時候正在威客眾測的群裡面 上面那個匿名的哥們傳的圖片真實客觀。
以下說下自己對於這件事情的看法
首先:除了洞主和眾測官方,誰也不知道到底泄露從業者信息沒有,只有等漏洞公開的時候才知道。不過按照這一事件的發展,個人認為泄露的可能性比較大。
另外說下烏雲,滲透測試本身就非授權的,無論你說你是好心還是其他的的,反正有一條逃不了,不合法。以前習科也提出過烏雲監管的問題。
三問烏雲「白帽子」:有些人這輩子洗不白了三問烏雲「白帽子」:有些人這輩子洗不白了威客眾測固然做的不好,但是同時也希望這次能夠同時正視烏雲監管的問題。這事戳中了威客的痛點,他們當然跳起來了。
威客眾測的商業模式其實是打著眾測的旗號做傳統安全服務:1.以眾測的名義讓白帽子到網站註冊並填寫身份證等個人信息;2.靠眾測的名義和CXL的個人公關方式拿項目;3.一些傳統的甲方會需要提供滲透測試人員的身份信息(然而這種所謂的監督機制並沒有什麼卵用),人員數量越多越好。這時白帽子的數據就有用了;4.項目的實際落地全部是由威客自己人完成,根本不是什麼眾測。
所以作為白帽子我們並沒有參加過任何一次威客的眾測,倒是個人的信息被他們利用作為項目工具了,烏雲披露的這次事件正是一次真實的打臉。
平心而論,眾測是一種非常牛逼的服務模式,讓企業找到了最好的安全測試效果也讓白帽子的能力得到了獎勵。烏雲眾測的成功已經證明了這種方式的可行性和前景。可惜像威客這樣掛羊頭賣狗肉卻依然會有企業買單,實在讓人捉急。
希望烏雲能夠挺住,堅持正確的道路。不過像威客這樣的公司劍心瘋狗他們應該也見多了。
利益相關:烏雲白帽子,目前在某互聯網公司從事風控最近看威客眾測,好像被烏雲盯上一樣,連續被爆,一波還未平息,一波又起,是有點悲催啊。
難道烏雲和威客眾測,真的要撕逼嗎
烏雲一個漏洞提交,下面一群刷Rank的,也是夠了,....什麼鬼
有技術的黑客,在烏雲上報,烏雲和廠商談判,然後在烏雲做眾測,之前好像不少烏雲的白帽子被抓起來了,就是沒經授權就提交漏洞,感覺自己好像大義凌然似的,做了什麼特別偉大的事情,但是如果追究起來,倒賣的還是會有人來頂的,不過可能是提交漏洞的那個人啦
反過來想,做平台,做企業,有漏洞被提交是正常的,被人提交漏洞,第一時間確認一下,然後儘快給大眾一個交代,盡量減少用戶的損失。
說大家愛湊熱鬧,看撕逼,其實我也愛看很正常么,不怕賊偷就怕賊惦記,威客被這麼多黑闊天天盯著,稍微一不留神就被日了
2015-08-27 15:39 | 威客眾測(烏雲廠商)
致 烏雲網(http://WooYun.org) : 鑒於貴司網站於2015年8月27日擅自公開發布消息,聲稱:「威客眾測某漏洞導致大量漏洞信息及安全從業者身份證/認證資料泄漏」。對此,我公司予以嚴正聲明: 一、貴司未經我司授權,採取非法手段,獲取相關數據和信息,對此我司保留追究你司相關法律責任的權利; 二、貴司未經我司核實和許可,擅自公開發布、傳播嚴重侵害我司聲譽的信息,嚴重影響到我公司與客戶的商業關係,已對我司構成名譽侵權,對此我司保留追究你司相關法律責任的權利。 鑒於此,我司要求貴公司(烏雲網)於三日內刪除與我公司相關的該條信息,否則,我司將啟動法律程序予以維權,屆時一切不利後果均由你司承擔。 特此函告! 北京錦龍信安科技有限公司有限公司 2015年8月27日
冥冥之中感覺,威客眾測在下一盤大棋啊。。。。。。。
一、可能是比較低級的漏洞,如部分目錄遍歷,但是目錄包含敏感信息,如身份證照片之類,所以可定義「高危」漏洞二、威客的態度不可取,誰家沒有漏洞,坦然積極面對就好了。最後這種處理態度得罪了一群白帽子,沒有白帽子支持還能生存下去?! 話不多說看評論: 威客眾測某漏洞導致大量漏洞信息及安全從業者身份證/認證資料泄漏
惱羞成怒
推薦閱讀:
※低端製造業以及人口紅利退去後,未來中國經濟的增長點在哪?
※影響樂視 2017 上半年虧超 6 億元的原因有哪些?
※如何不讓google.com跳轉到google.com.hk?
※如何評價Windows 10 for Raspberry Pi 2 ?