烏云網多名高管被警方帶走已證實 事出原因不明引猜測

　　從7月19日開始，烏云網已經無法登陸了。導致無法登陸的原因到今還未查明，大家也只能猜測而已。目前已經證實烏云網出烏云市場負責人鄔迪以外，該網的多名高管已被捕。烏云網到底出了什么事？還未有任何人作出正式的回應。

　　針對近日網上流傳“白帽社區(qū)平臺烏云網多名高管被捕”一事。財新記者從多個渠道確認，烏云網近十多名團隊成員被警方帶走，包括烏云網創(chuàng)始人方小頓。目前，各方尚不清楚烏云網因何出事。

　　“事情發(fā)生得很突然，烏云網的人自己也不知道出了什么事。”一位接近烏云網的知情人士告訴財新記者，“大概一個禮拜前，是下午，烏云網近十多名團隊成員被警方帶走。烏云網的人說，當時沒有什么手續(xù)，也沒有通知。”

　　上述知情人士向財新記者透露，烏云網創(chuàng)始人方小頓當天被帶走。財新記者多次聯系方小頓，未獲回復。方小頓的微信朋友圈早已于7月18日停止更新。他在最后一條朋友圈里稱，“比天賦更重要的是變強起來的勇氣，希望回來能有更好的自己。”當時的他還在朋友圈里推薦烏云的一款產品“唐朝安全巡航”，并配上大笑的表情。

　　7月8日-9日，方小頓曾在2016年烏云白帽大會上公開露面。當時，他與中科院軟件研究所研究員丁麗萍、公安部網絡安全專家童瀛等業(yè)內知名人士一起探討系統漏洞披露模式的邊界問題。與會人士介紹，當天的方小頓看不出有何異樣，情緒也很穩(wěn)定。

　　另一位與烏云有合作往來的人士稱，當時帶走的人里面沒有烏云市場負責人鄔迪。財新記者試圖聯系鄔迪，但他的電話已處于呼叫轉移狀態(tài)。

　　7月19日，烏云網已經無法登陸。7月20日凌晨，烏云發(fā)布了一則升級公告，稱為了更好地向用戶提供服務，烏云及相關服務將進行升級。在這則公告里，烏云還稱，“我們將在最短的時間內，以最好的姿態(tài)回歸。”但直至7月28日，烏云仍處宕機狀態(tài)。

　　上述與烏云有合作往來的人士向財新記者透露，烏云網并非相關部門封掉了，而是烏云自己的人決定停掉，估計是規(guī)避風險。“8月上旬，成都將召開一個有關網絡安全的大會，本來是邀請了烏云的人做演講。現在也取消了。”一位接近烏云的人士稱。

　　一位多年活躍在烏云平臺上的白帽對財新記者表示，真實的情況到底是什么很難知道。關心烏云的人基本都在默默地等著，希望烏云趕緊恢復。

　　事出原因不明引猜測

　　烏云網出事消息傳出后，白帽們及互聯網圈內人士紛紛猜測其出事原因。大體有三種說法：一是杭州IT人士袁煒在烏云平臺提交了世紀佳緣網站系統漏洞，世紀佳緣按照慣例修復漏洞并致謝烏云網之后，突然以“網站數據被非法竊取”為由報警。之后北京朝陽區(qū)人民檢察院于2016年4月批捕袁煒。檢方已決定對袁煒提起公訴，烏云可能受到牽連。二是烏云平臺上的白帽測試了相關政府部門的網絡系統，烏云受到牽連。三是7月全國多名艾滋病患者信息被泄漏，烏云因在平臺上公布過中疾控疫情網存在系統漏洞受調查。

　　中國互聯網協會信用評價中心法律顧問趙占領分析，烏云網受世紀佳緣事件影響的可能性不太大。按照相關法律，技術人士利用漏洞機會實施犯罪行為，比如獲取數據、破壞系統等。這些行為本身不是在平臺上發(fā)生的，而是發(fā)生在平臺之外的行為。平臺做的只是將漏洞通過圖片、文字等形式公布出來，平臺的行為也可能是法律問題，但不是犯罪問題。

　　“平臺涉及的法律問題可能包括白帽發(fā)布漏洞不實或不準確，平臺因對漏洞信息負有審核責任，造成共同侵權。”趙占領認為。

　　“白帽”社區(qū)邊界在哪里？

　　烏云網的定位是一個位于廠商和安全研究者之間“自由平等”的漏洞報告平臺，由原百度“80后”高級安全工程師方小頓聯合幾位同行創(chuàng)辦，2010年5月正式上線，核心的運營思路遵循開放和分享的原則。

　　短短6年間，烏云被業(yè)內譽為中國最大的白帽聚集地，2014年大概有近5000名白帽活躍在烏云網上。按照互聯網圈普遍定義，白帽是指擁有高超的互聯網技術，能夠發(fā)現網絡漏洞或風險點，但并不以此作惡的人。

　　“白帽發(fā)現漏洞，烏云審核通過，會提供給相關公司讓其認領并修復。只有在相關公司不認領的情況下，烏云才會在平臺上向公眾予以公開。”上述多年活躍在烏云平臺上的白帽向財新記者介紹，“報告漏洞都是免費的，烏云并不向企業(yè)收費，是非營利性的機構。”

　　按照烏云的流程，一般10天向核心白帽子公開其漏洞細節(jié)，20天向普通白帽子公開，30天向實習白帽子公開。直到45天之后，企業(yè)仍未主動認領漏洞，則會向公眾公開其細節(jié)。

　　一位熟悉烏云運作模式的人士稱，從商業(yè)盈利的角度，烏云現在也會接受商業(yè)公司的委托進行安全測試，譬如烏云的一些產品唐朝安全巡航、安全眾測等。但這與白帽主動在烏云平臺報告漏洞是完全分開的。

　　白帽在未經公司允許的情況下是否能主動去測試其系統安全？按照相關法律，測試系統漏洞的行為不違法，就像你去敲敲門發(fā)現別人的門沒鎖立刻告訴別人，是善意提醒。但是，如果發(fā)現別人門沒鎖，進去別人家里則另當別論。

　　趙占領認為，涉及白帽的犯罪行為主要有三種：一是非法侵入計算機系統罪，但該犯罪行為指的是被入侵對象必須是國家事務或國防系統。一般情況下，如果不是政府網站的話，白帽一般不會涉及；二是非法獲取計算機信息數據罪，這個罪名成立需要有三個條件：必須要有入侵或者通過其他方法獲取數據，而且情節(jié)嚴重。“情節(jié)嚴重”包括金融機構的金融身份認證信息達到十組以上，其他的身份認證信息達到500組以上，或者是非法控制計算機系統等具體條件；三是操縱、破壞計算機信息系統罪，包括控增加、刪除、修改、干擾計算機系統，或者是對數據有相應的刪除行為，甚至倒賣數據等。

　　“這些年，烏云上報的漏洞已經非常多了。如果是有黑客做了啥壞事，那應該是相關部門去查那個黑客，烏云平臺輔助配合調查。”上述多年活躍在烏云平臺上的白帽說。

　　烏云作為國內最大的白帽子平臺，這次事件是很令人震驚且感覺憂慮的。我不知道在中國的法制體系下白帽子們能存活多久，但我只知道沒有白帽子的中國互聯網能安全多久。