乌云网多名高管被捕 黑客到底有没有黑白之分

黑客到底有没有黑白之分?行走在法律边缘的乌云网是黑客洗白的圣地还是维护网络安全的理想国?随着乌云网多名高层被捕，对这一场没有硝烟的战争的讨论已悄然兴起。

近日，“自由平等开放的漏洞报告平台”乌云网，包括乌云网创始人方小顿在内的多名高管突然被捕。目前，各方对乌云网出事的原因尚不清楚，但自诞生之日起，就一直游走在灰色地带的乌云网模式，再次引发公众关于黑客的大讨论。

提起黑客，人们常常会和反叛、自由、开放等词联系起来，感觉他们就是互联网世界里神秘而危险的魔法师，白天黑夜任性切换，自由穿梭，能做到很多人做不到的事。尽管佩服黑客大牛们神一般的技术，但黑客本身却一直处于被黑的角度，白帽和黑帽之间的界限一直难以界定。

而乌云网，这个一开始就以白帽黑客社区出现的漏洞报告平台，就在这个灰色地带出生并一步步成长。

2010年5月乌云网正式上线，为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的修复。

2011年11月，乌云网根据白帽子提供的各种材料，连续披露京东商城、支付宝、网易等著名互联网企业存在高危漏洞，12月29日更是指出支付宝1500万至2500万用户资料泄露，以及广东省公安厅出入境政务网444万用户信息泄露，乌云网一炮打响。

此后，乌云网还公布了如家酒店开房信息泄露、支付宝漏洞、搜狗浏览器泄露用户数据、腾讯7000万QQ群用户数据泄露等一系列引起关注的泄漏事件，影响力逐渐扩大。短短6年间，乌云网汇集了上万名白帽黑客，成为中国最大的白帽子黑客聚集地。

对于一般漏洞而言，乌云网规则大致如下：

1.白帽子提交漏洞并通过审核后，乌云网会公布漏洞概要，内容包括漏洞标题、涉及厂商、漏洞类型与简要描述

2.厂商有5天的确认周期，乌云会积极联系厂商提醒修复漏洞，5天内未确认视为忽略;

3.确认3天后对安全合作伙伴公开;

4.10天后向核心及相关领域专家公开;

5.20天后向普通白帽子公开;

6. 30 天后向实习白帽子公开;

7. 45 天后向公众公开;

8.期间厂商可自行提前公开，向普通白帽公开的时候可以使用乌云币购买提前查看漏洞细节。

尽管参照了很多国外机制、网络安全维护和黑客操作惯例，对于乌云网的这一个执行机制，很多机构和个人仍存有很多疑虑。

首先，虽然乌云网的影响力越来越大，但很多厂商并没有注意到乌云网，更不能在5天之内就做出相关的反应机制;其次，最初乌云的存在意义的确是为了引起各类甲方对安全的重视，但随着网站的发展，网站的盈利模式成为不可忽视的生存问题，而乌云网背后的盈利模式不清晰，受人质疑，有说法提到，当某些安全服务公司向乌云网支付一定费用之后，就可以提前看到其服务客户的所有漏洞，在未经客户允许的情况下，将漏洞信息泄露给服务公司是否合法?此外，乌云网所公布的漏洞标题很多来源于白帽子提交，并没有任何审核与修改，容易引起大众恐慌和影响公司名誉。最后，最受争议的是，当一个病人没有求助医生的时候，这个医生强行治病是否应该?部分机构表示，不欢迎乌云网查询漏洞，而法律上，对于乌云网直接查找各个网络漏洞并进行披露的合法性也没有明确。安全漏洞的公开是必要的，这是对用户的负责，也是对企业安全的监督，但如何真正做到负责任的漏洞披露值得深思。

《黑客追击令》里有一句非常出名的话：“我能从全世界的每一个 ATM 机里取出钱，但是我没有。”白帽子黑客就是这句话的理想存在。但是乌云网作为这个行业的先行者，在法律和市场环境都不够成熟的情况下，前行的路上，走的弯路或者做的努力都有待验证。乌云网确实帮助不少机构及时发现了漏洞，但也不排除存在别有用心的黑客利用网站发布的漏洞，或者利用乌云网洗白自己的可能。

此次乌云网的多名高管被捕，有人猜测是杭州IT人士袁炜在乌云提交了他发现的世纪佳缘网站系统漏洞事件的发酵，但具体原因并没有公开定论。目前，乌云网发布公告，表示由于系统升级服务的需要，网站暂停服务。