3月底被曝出的360和谷歌可搜索出大量支付宝私人交易记录的漏洞事件尚未平息,4月初,微博红人“独立调查员”和漏洞报告平台乌云之间的微博口水论战却再次“火上浇油”,将支付宝漏洞事件推向白热化状态。
双方各执一词
事实上,刚刚被曝出的支付宝交易记录可被搜索引擎抓取事件,去年乌云平台上就有“白帽子”(正面的黑客,并不会恶意去利用,而是公布网络、系统漏洞)上报过类似漏洞。在2012年6月1日发布的题为“支付宝交易信息泄露”报告概要上写着,漏洞类型是“敏感信息泄露”,危害等级为“中级”,而漏洞状态为“漏洞已通知厂商,但是厂商忽略漏洞”。时隔半年,经网友爆料,这则报告被大量转发后,才引起公众的广泛关注,与此同时,支付宝方面也采取了相关措施,进行了补救。
原本事情可告一段落,但自称为微博007的“独立调查员”却在4月初提出了“真的是安全漏洞吗?”的质疑,指责乌云平台有“伪安全”嫌疑,由此引发一场论战。“系统本身没有隐私安全问题”,独立调查员在接受《IT时报》记者采访时表示,“那个功能本来就是用来给用户分享交易结果的, 用户主动发送链接,责任怎么能算到支付宝身上?”从独立调查员掌握的信息看,没有明确证据指明,被搜索引擎抓取的交易信息是受第三方攻击后取得。因此,他认为,乌云的漏洞上报并不专业,“像这一类未经证实的漏洞应改称为‘疑似漏洞’,而且对于这类未经证实的漏洞报告应加强审核,立即删除错误的漏洞报告。”
对此,乌云平台的相关负责人剑心也有自己的看法:支付宝本身就应该对使用用户的信息安全负责。“比如A用户付款之后可能需要将信息告诉B用户,但是他未必知道这么一发之后,会有什么后果。因此在设置时,支付宝就需要考虑到这些问题,其实非常简单,只要设置这个链接24小时内有效就能解决。”剑心认为,之前,支付宝之所以迟迟没有采取行动,还是与对这一方面的安全不重视有关。
漏洞判断无标准可依
这一次的论战同时引起了不少业界的安全专家和技术人员的关注,《IT时报》记者与业内多位专家沟通后,发现这一类的“漏洞”问题即便是在业界也存有各种争议,但始终没有一个权威机构能够给出明确标准。
FLASHSKY是网络知名的安全专家,在他看来, “到底是谁的漏洞、谁应该对这个漏洞负责(修补)等等,一直都是争论的焦点问题,没有一套标准的体系来衡量。”事实上,FLASHSKY自己就曾遇到过类似情形:“2006年我提交类似的解析漏洞,对接的微软研究员一直不承认这是漏洞,理由是微软已声明该文件不安全,打开需用户负责。但2007年我再次用事实证明这个漏洞的危害,微软才理解并调整了相关策略。”他认为,“从系统业务自身安全角度看,该有的安全措施设计是否符合业务安全需求,如果一个重要的安全隐患必须依赖于用户意识或者不可控的第三方监测,就是系统设计的不完善。”
安全环境有待改善
在支付宝的事件中,虽然在业界,支持乌云报告的技术人员占大多数。但也有不少网友对乌云运作模式提出了思考,网友“数据流”认为:“现在乌云的‘白帽子’泛滥,防漏洞质量严重下降,乌云方面应采取策略提高门槛。”
据了解,乌云是非营利性质的漏洞上报平台,其上报者都是来自安全领域的技术人员,尽管从流程看,“白帽子”上报的漏洞先要经过审核,以及得到企业的反馈,然后才能公布,但目前在乌云平台,只要荣升为普通白帽子后,上报的漏洞就不再需要审核,而企业方面的反馈虽然可以起到弥补作用,但一旦企业选择“忽略”,用户其实很难判断漏洞的真实性。对此质疑剑心表示:“对白帽子而言最重要的是信誉,如果有失误会被其他人鄙视。”不过,公众对平台报告的公正以及客观的要求,并不仅仅依靠白帽子的荣誉感来保证。