乌云停业整顿：白帽子游走于法律边界

白帽子袁炜因在乌云网提交世纪佳缘漏洞被抓后，乌云网再一次陷入风波。不仅乌云网站无法打开，有传闻称，乌云高管也被抓。

就在昨日，乌云发布一则公告，宣布为了更好的向大家提供服务，乌云及相关服务将进行升级，乌云将在最短的时间内，以最好的姿态回归。

“不管从前，现在，还是未来，我们都会坚持这么做下去。”公告称，与其听信谣言，不如相信乌云。

乌云停业整顿的同时，漏洞盒子也被曝出暂停接受互联网漏洞与威胁情报。

不过，漏洞盒子微博发公告否认外界关闭传闻，称漏洞盒子平台业务运营按照年度计划既定进行，目前全线产品业务运转正常，与其他事件无任何关联。

世纪佳缘跟着“躺枪”

乌云停业整顿正值白帽子提交世纪佳缘漏洞后被抓4个月之际，。

事情的缘由是，袁炜在2015年12月3日发现世纪佳缘网站存在漏洞，于次日向世纪佳缘网提交发现的漏洞，同年12月7日，世纪佳缘在乌云上确认了该漏洞并致谢。

2016年1月，世纪佳缘报警称有900多条有效数据被非法获取。2016年3月8日，袁炜遭到警方刑事拘留，于4月12日被批准逮捕。一直到今天袁炜都被关押。

袁炜父亲此前对雷帝网表示，袁炜已被关押了好几个月，这个事情对全家人来说都是晴天霹雳。“我们很想知道袁炜是否真的触犯了法律。”

不过，此番乌云停业整顿背后跟袁炜被抓一事并没有直接关联，而是其白帽子模式游走法律边界，牵扯到了一些纠纷之中。

一位业内人士点评说，世纪佳缘在这个事情上是“躺枪”了。

部分白帽子游走在法律边界

所谓白帽子，描述的是正面的黑客，其可以识别计算机系统或网络系统中的安全漏洞，但并不会恶意去利用，而是公布其漏洞。系统可在被其他人（例如黑帽子）利用之前来修补漏洞。

此次陷入风波的乌云是中国最早漏洞报告平台，成立于2010年5月，创始人之一为百度前安全专家方小顿——这位1987年出生的知名黑客“剑心”，曾与李彦宏一起参加湖南卫视《天天向上》节目。

乌云网聚集一群爱好安全技术的“宅男”，也被称作“白帽子”黑客，为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的修复。之前携程、如家的漏洞都是乌云曝出。

一位安全行业人士指出，此次乌云产生这么大的风波是因为其商业模式有风险，其实之前世纪佳缘的事情已经敲响了警钟。

“白帽子”中有人利用一些网站的漏洞，干了一些“坏事”。不仅看了一些不该看的内容，还通过拖库的方式拿到了一些数据，甚至公布出来，还非法进行了交易，一下子惊动了有关部门。”

上述人士称，现在就看乌云是否牵涉其中，若牵涉其中可能会陷到更大麻烦。

此前，乌云核心白帽子TK教主在交流中提醒说，常在河边走很容易就湿鞋，但如果你熟知法律边界，知道有一条不可触碰的高压线摆在那，你就可以做到常在河堤走，永远不湿鞋。

借用乌云大会上一句话：白色是最纯粹的颜色，没有一丝杂色，哪怕是掉在上面一粒灰点也能立马呈现，所以白色的世界里不允许有半点污点。

QQ、微信被盗，某个网站的帐户密码泄露，个人身份证、电话等信息被泄露……这背后几乎都离不开黑客。在IT世界里，黑客分为两种，一种是“黑客”，把系统漏洞兜售到黑市上，谋取巨额利益。另一种则是“正面黑客”，把系统漏洞提交给厂商，让厂商及时修复漏洞从而保护用户信息。两者有一个共同点，他们都能够发现计算机和网络系统上的漏洞。但在相应法规尚未完善的情况下，这一共同点也让两者之间的界限显得有点模糊。

近日，随着袁炜的被捕，两者之间的界限争论再度成为风口浪尖上的话题。随后，两大漏洞报告平台之一的乌云网昨日开始也陷入停摆危机。尽管乌云网官方口径称“进行升级”，但有不愿意透露姓名的知情人士向南都记者透露，“乌云网有十几个高管被抓。”然而直至昨天截稿时，这一消息尚未得到官方证实。“正面黑客”究竟是什么人？他们日常所从事都是什么工作？带着对这一行业的神秘猜想，南都记者昨天联系采访了多名IT世界里的“正面黑客”高手，试图还原他们最真实的生存状态。

“乌云确实出事了”？

乌云被认为是国内最早的漏洞报告平台，成立于2010年，众多“正面黑客”聚集其中，并曝出了此前多个互联网平台信息泄漏事件，，为乌云网赢得了公众不少好感。

南都记者昨日下午再次登陆发现，打开乌云网页后出现的是升级公告。公告中提到，“为了更好地向大家提供服务，乌云及相关服务将进行升级。我们将在最短的时间内，以最好的姿态回归。”乌云网同时在公告最后指出，“与其听信谣言，不如相信乌云。”不过，有不愿意透露姓名的知情人士向南都记者透露，“乌云确实出事了，有十几个高管被抓了。”但对于更多细节，该人士拒绝进一步透露。针对对上述种种消息，乌云官方在接受南都记者采访时则未予置评。

在业内看来，乌云事件应该和此前袁炜被捕一事息息相关。不久前，袁炜向乌云平台提交某婚恋网站的漏洞报告，乌云平台将该漏洞告知并得到了修复。之后该婚恋网站针对用户信息被窃取一事报案，结果被抓的人却是袁炜，今年4月12日，北京市朝阳区人民已正式批准逮捕袁炜。

此事件后，南都记者登录互联网安全测试另一大平台漏洞盒子发现，该页面可以正常打开，但旗下“漏洞黑板报”网页则打不开，其官方公告里的“热门漏洞”也变成404页面。漏洞盒子方面昨日向南都记者表示，所有业务都没有受到任何乌云事件的影响，公司目前准备做一些制度上的改版，也是在正常的计划安排中。

游走于法律边缘

两种黑客之间，实际上仅有一线之隔，都游走在法律的边缘。安全专家李夏（化名）向南都记者表示，“黑客”是把漏洞卖到黑市上，谋取巨额利益。“正面黑客”是把漏洞提交给厂商，让厂商及时修复漏洞保护用户信息。

不过，有IT业资深人士对南都记者表示，乌云的模式存在一定弊端。一般乌云与漏洞盒子两家平台发布一则漏洞信息后，一段时间内如果没有厂商认领，他们就会选择直接公布漏洞。“对于我们而言肯定是好事，可以学习他的思路，但对厂商就不一定了。”有一不愿透露姓名的“正面黑客”向南都记者透露，他之前曾发现某金融公司的漏洞，但最后无人认领，一个半月后被发布了。“从我个人角度来说，我是不希望这个漏洞被一些有心人利用的，所以我就跟乌云的人协调了一下，把关键信息打上了马赛克。”

同样是在未授权情况下对某网站或服务器进行渗透测试，这样做是否合法合规？李夏向南都记者坦言，其实都是“不合规的，但行业里很多人都会这么做。”

按照上述业内资深人士的说法，“正面黑客”查漏洞行为从法律角度是没有合法规定的，只是现在几个漏洞平台由政府支持，所以处于一个“不算违法”的情况。一般漏洞检测有两种情况，一是厂商发起众测，并根据漏洞大小予以打赏；一种是自发上报，引起厂商或者漏洞平台的注意，换取积分可以在漏洞商城换一些极客商品，或者有厂商会自发打赏，这个价格没有标准。

二者各成圈子

和“黑客”贩卖网络漏洞获得的高额收入相比，“正面黑客”更多被认为是“情怀主义”。，在国外，微软、谷歌等科技公司都会给“正面黑客”专门的奖励，并且加上荣誉公告。“价格都在几千美元到几万美元不等，，这当然不能与“黑客”相比，一个高危漏洞在黑市上卖出上百万美元都很正常。

“（”正面黑客“）不能沾那些事情，一旦沾了的话，就回不了头。”李夏特别强调。

，“其实很多数据库泄露都是撞库等方式泄露的，这是数据库本身已经暴露的基础上造成的，根本不需要黑客这种技术功底。”

腾讯科恩实验室成员陈良表示，近几年来网络信息泄漏事件频发，加上信息安全从业人员水平的提升，使得“正面黑客”开始被当成正当职业对待，而圈子内“黑客”和“正面黑客”分得比较开。腾讯电脑管家团队成员邓欣表示，公开场合内二者会有技术、研究成果的交流，但也仅限于此，“比如说像Q Q盗号的人，他们有自己的圈子，他们交流不走国内的渠道，他们找一些很偏的通讯软件进行沟通。”邓欣说。

名词解释

●正面黑客：

IT行业内指有能力识别计算机或者网络系统中存在的安全漏洞，但不做非法用途，而是告知企业修复漏洞，之后再公布细节的人，和黑客仅有一线之隔。被喻为网络世界中的“超级英雄”。

●乌云网：

漏洞报告平台，，提醒用户更改密码，因而赢得用户不少好感。