对话白帽黑客猪猪侠

 

出现与信用卡有关的漏洞，自然会联想到与黑客有关的地下产业链。

网上关于黑客以及黑客背后暴利生意的报道，多年以来一直广为流传。国内外与黑客有关的信息盗取事件也层出不穷，例如2011年12月中国最大程序员网站CSDN报案称遭遇黑客攻击、600余万用户信息被泄露;去年12月，美国第三大零售商Target的4000万顾客信用卡数据被盗。

知名互联网信息安全专家sunwear在新浪微博中表示，黑客圈做信用卡产业很成熟，欧美台日等都是黑客的目标，很多网站都会储存信用卡的卡号、CVV、到期日等信息，携程只是冰山一角，虽然很多数据是加密或隐藏信息但不一定好使。

他还放出一张某黑客位于荷兰的服务器中的信息截图，“其中的信用卡资料来自中东某航空公司和几个台湾网站，总量在700万条左右，按照黑客圈价格欧洲的卡一张可以做出几百块，你们自己想利润吧。不过我看到时数据已经放那一年里，早被洗过了”。

不过并不是所有的黑客都从事这样的生意。黑客中有一类被称为白帽黑客，他们主要利用自己的技术测试网络和系统的性能，并不通过这种方式牟利。

这次披露携程漏洞的，就是乌云平台的核心白帽黑客猪猪侠，在微博上他的ID是一串英文名，而他五位数的QQ使用的又是另一个三字中文名称。猪猪侠有着一串骄人的战绩，被他发现漏洞的企业包括：携程、腾讯、优酷、网易、盛大……仅在乌云披露的漏洞数量已达125个。

新浪科技：“你为什么能发现这么多漏洞”。

猪猪侠：“产品经理为了产品的易用性，会收集各种数据来改进产品体验”。

在交流中，猪猪侠似乎感受到了某种外在的压力，他对新浪科技直言近期并不太想针对携程漏洞一事发表过多的评论，而且目前已经有相关部门介入此事。此外，他另外在微博上表示：目前本人已经将安全测试涉及到的日志信息彻底删除， 携程也已经及时修复漏洞。

对于携程声称提供奖励一事，猪猪侠说他也没有当真。实际上，携程漏洞这件事被关注的程度，并不在猪猪侠的意料之内，他事后总结说可能是因为这个漏洞直接与钱挂钩。

“真正应该火的是这个漏洞”，猪猪侠给了新浪科技一个链接：

那是一个3月21日，14点10分发布在乌云平台，编号为54204的漏洞报告。这份报告显示，腾讯QQ客户端某默认安装空间存在严重安全缺陷，黑客可远程获取任意好友的ClientKEY;结合另外一个漏洞，即可绕过腾讯单点登陆系统的IP访问限制，登录好友的全线QQ业务系统。包括QQ空间、QQ相册、QQ邮箱、腾讯微博等。显然这中间隐藏着更大的隐私风险，至截稿时，新浪科技就此咨询腾讯方面尚未获得回应。

(责任编辑：安博涛)