中国网财经12月23日讯(记者 甄鼎丞) 相继曝出如家等酒店客户开房信息泄露、携程用户银行卡信息泄露、支付宝账号可任意登陆等高危漏洞后，乌云网声名大噪。

　　同时，乌云网也遭受了很多误解与攻击。据介绍，乌云网多次受到企业威胁，甚至曾有被某知名公司派人潜入机房拔掉网线这样“可笑可气”的经历。而有媒体更是将“中国最大的黑客培训基地”冠以乌云网。

　　面对各方压力，虽然曾一度面临“关站”危险，但乌云网依然坚持“第三方非盈利性组织”身份，坚持“不删漏洞”、不接受投资。

　　盛名之下，其路也难。近日，中国网财经记者专访到乌云网的多位创始人。

　　乌云：网络安全的乌托邦

　　2013年10月，公布因第三方系统漏洞导致如家、汉庭等酒店的客户开房记录泄露。

　　2013年11月，公布腾讯7000多万个QQ群数据库漏洞，泄露用户备注姓名、年龄、社交关系网等大量个人隐私。

　　2014年2月，公布淘宝和支付宝认证存在安全缺陷，黑客可以简单利用该漏洞登陆他人淘宝和支付宝账号进行操作。

　　2014年3月，公布携程网漏洞导致大量用户银行卡信息泄露，其中包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等敏感信息。

　　乌云网频繁曝出震惊行业的重大漏洞，几乎战战告捷。而同时，也将一个默默无闻的群体——白帽子推向公众视野。

　　白帽子，可以理解为正义的“黑客”。虽然两者都擅长网络技术、乐于寻找漏洞，但白帽子的做法是将漏洞公开、提交企业，而非黑客般窃取数据。

　　业内常把网络技术的攻与防比作是一场战役，但在各位创始人眼中，乌云网更有白帽子们的理想乌托邦的意味。

　　据介绍，2010年成立时，曾相识于知名安全论坛80Sec的创始人“剑心”方小顿和“疯狗”孟卓，已在网络安全圈内已有一定名气。彼时，方小顿在百度安全部门工作，孟卓则供职于新浪。当时他们还是用兼职时间的来运营乌云网，而初衷就是能通过乌云网促进网络安全信息的共享，改善白帽子向企业提交漏洞时遇到的不公正待遇。

　　2012年，乌云网获得国家互联网应急中心赞助，以更“接地气”民间组织的身份，承担部分“国家信息安全漏洞库”的工作。就此，“乌云网成为有国家相关部门支持的民间的第三方非盈利性组织。”合伙人邬迪给出定义。

　　5年过去，乌云网已汇集白帽子6700余人，活跃白帽子1152人，日均上报漏洞百余个。而乌云网的月访问量也达到170万到200万，日均访问IP接近20万。

　　澄清误解：漏洞公开的福与祸

　　出于中立性考虑，乌云网采取严格的漏洞公开机制。

　　白帽子发现漏洞后，由乌云网进行初审，检查描述、截图等信息证明真实性。信息完善后漏洞立即报告给企业，由企业进行确认。

　　为保护企业信息安全，漏洞将经过至少45天对外保密的流程。修复较快的云端漏洞保密期限为45天，而浏览器、QQ等客户端软件保密期限为90天。保密期间，公众只能看到漏洞标题和简要描述，期满后才对外公开。

　　正是由于中立而严格的公开机制，和任何情况下坚持不删除漏洞信息的做法，乌云网博得了众多白帽子的信任。同时，更多的白帽子愿意在乌云上公布行业漏洞。

　　但作为民间的信息安全平台，公开机制也为乌云带来了不小的误解和麻烦。

　　乌云曾多次遭到企业的威胁甚至报复。据介绍，某运营商导要求删除漏洞信息未果后，直接断掉了乌云的办公网络。另一次，“国内某著名互联网公司派人偷偷潜入乌云网机房，拔掉服务器网线。”创始人孟卓又气又笑地讲述。

　　在孟卓看来，相比于乌云网，企业自身更应该公开安全问题。但大部分中国企业在遇到问题时，首先想到不是妥善处理，而是先掩盖，尽力不让外界知道。

　　“中国和国外信息安全上的差距，其实不是技术上的差距，很大一部分是理念和态度的差距。中国人责任二字观念很强，出了事故先抛开责任。”孟卓如是说。

　　与企业的报复行为相比，来自媒体和公众的误解，更让各位创始人“心寒”。

　　有媒体称“白帽子也是黑客”，将“中国最大的黑客培训基地”的帽子冠以乌云网，甚至直言“大多数闹心消息的发布源头就是乌云网”。

　　面对种种误解，孟卓则表现出更多的是无奈，“白帽子与黑客截然不同。黑客是黑色产业链的一员，目的是盗取数据。由于赚钱速度快，黑客的价值观大多已经扭曲，断然不会主动上报漏洞，自断财路。”

　　“但如果没有乌云公布漏洞，用户永远不知道个人信息已经被泄露。”孟卓直言。

　　威慑黑产 促信息共享

　　如今，互联网已深入到生活的每个角落，同时互联网也进入“云”时代，越来越多用户信息都存储在云服务器端。而云技术在提升了用户体验、减低成本的同时，也显现了其风险。“过去一个问题只影响一两个用户，云技术之后可能影响上千万的人。”创始人方小顿表示。

　　云技术漏洞导致的信息泄露，最大的收益者就是地下黑色产业(下文简称：黑产)。

　　而“由于利益巨大，黑产已经猖狂到失控的地步。”孟卓表示。

　　乌云网正在联合所有白帽子，与庞大的黑产进行竭力斗争。就在采访时，乌云网刚刚发布两个“令人震惊”的预警，130万研究生考试报名信息泄露和部分省市已亡人信息泄露，黑产的骗子正在利用这些信息疯狂的进行诈骗。乌云网也提醒可能涉及的用户，提高警惕，以防被骗。

　　在孟卓看来，乌云网就是对黑色产业最大的威慑。“过去黑产隐蔽于地下，行动非常自由。现在乌云网会在盯着他们，随时就把他们和同伙给曝出来。”

　　乌云网另一个重要意义，就是给白帽子正确的引导。过去，安全技术只有两条路，进入国家安全机构或进入黑色产业。而今，乌云网提供了另一个平台，既能合法的施展能力，还能获得大家的认同。另外，乌云网在向企业上报漏洞的同时，也可以帮助白帽子找到较好安全类工作，光明正大的做安全研究。

　　而对于行业，合伙人邬迪总结称“现今互联网公司产品迭代过于快速，而忽视安全问题。乌云网希望能够一改各自为战的状况，将漏洞公开、共享企业间安全信息，促进整个行业的发展。也希望企业能转变对于安全的态度，积极解决问题而不是逃避责任。”