顶级“白帽”悬赏2500万 征集羊毛党线索

（原标题：顶级“白帽”悬赏2500万 征集羊毛党线索）

近日，苹果ID勒索、银行卡盗刷、网贷平台遭羊毛党薅干等热点新闻集中爆发，黑产之猖獗，已超乎人们想象，对黑产的讨伐之声络绎不绝。
　　事实上，攻防之间，一直都是一场实力悬殊的战争。黑客信息共享，互通有无，攻击能力倍增；而白帽们（防守方的安全人员，被称为白帽子黑客，简称白帽），却各自为战，常沦为被动防守，或“救火员”。
　　一直有人试图打破这种悬殊，却没有一个切实可行的方式。近日，通付盾攻防实验室负责人风宁在xkungfoo 2016年安全大会上，正式公布，两年内，将悬赏2500万，征集羊毛党、刷单、数据泄露、漏洞等线索。
　　不论是黑客大拿，还是技术小白，只要提供有价值线索，就能获得奖金。
　　用金钱的杠杆，试图撬动信息的不对等，这条路，可以走通吗？
　　3小时银行卡被洗劫数万
　　因向10086发送了一条短信，半小时后手机无服务，三小时内3张银行卡数万元资金被盗取。
　　日前，90后Merci在网上贴出了自身的遭遇，他被迫亲眼见证了骗子一步步通过支付宝、百度钱包，一笔笔转走三张银行卡内所有资金的整个历程。
　　这场精心布置的骗局，暴露出一个不得不面对的现实：Merci重要的个人信息，如身份证、银行卡、手机号、139网站密码等重要个人信息，完全泄露。
　　黑产之手，已延伸到普通百姓生活，到了触手可及的地步。
　　事后，Merci向警方报案，与三家银行、中国移动、支付宝和百度钱包联络，但已损失的资金依旧没能完全追回来。
　　“到目前为止，我始终没有搞明白，我是如何把自己的信息泄露得如此完整”，其实，这是一场细思极恐的骗局，Merci也不是网络信息泄露的唯一牺牲品。
　　随着网络发展，信息交流越来越频繁，信息泄露问题也屡见不鲜，国内的信息安全形势十分严峻。

　　《2015年中国网站安全报告》中发布了2015年国内外十大网站安全事件。其中，国内“社保系统被曝漏洞，泄露数据5279.4万”、“大麦网600多万用户账号密码数据被泄露售卖”等事件榜上有名。
　　 去年，最严重的数据泄露爆发在网易邮箱，泄露数据总量高达5.4亿。虽然事后网易方面否认，但大量网友反映，与网易邮箱相关的微博、视频网站、甚至苹果账号均被盗用。
　　近日，人民日报发文称，有78.2%的网民个人身份信息被泄露过，63.4%的网民个人网上活动信息被泄露过；而有82.3%的网民亲身感受到了个人信息泄露给日常生活造成的影响。
　　  网民被泄露的信息主要分为两类：个人信息包括姓名、身份证号、手机号码、家庭住址、工作单位、邮箱账号和密码、网购信息、购车、购房情况、医疗信息等各类信息；网上活动信息包括通话记录、网购记录、网站浏览痕迹、IP地址、软件使用痕迹及地理位置等，涵盖范围非常广泛。
　　 这些泄露的数据，最终成为不法分子获利的工具。
　　 
　　完整、庞大、精密的黑色产业链 
　　仅在2015年一年，中国网民因信息泄露问题，导致的损失是805亿人民币——这只是对外公开的可查数据。这意味着，黑产每年将产生近千亿的市场。“这巨大的经济损失背后，是一条完整、庞大、精密的黑色产业链。”通付盾首席安全官风宁表示。说起来，在中国安全圈上，风宁是一个不得不提的名字，作为黑客圈元老级人物，他曾经带领他的团队创造过很多纪录和传奇。如今，他成为了通付盾攻防实验室的负责人，据说，实验室已集结十多位不同领域的顶级安全技术专家，风宁试图打造中国最顶尖的安全战舰和白帽团队。通付盾一直的口号就是“反三党”——羊毛党、黄牛党和山寨打包党，而羊毛党是通付盾的重点对抗目标，风宁的这个举动，也正是“反羊毛”的重要一步。
　　风宁介绍，黑产上游主要的业务线，就是盗取信息。获取用户数据的方式有很多，最常见的，就是黑客攻击网站，从其中盗取用户数据。但另外一个不可忽视的途径是，内鬼泄露数据。
　　去年3.15前夕，京东被曝出大量用户隐私信息遭到泄露。据《法制晚报》报道，京东三名负责物流的员工通过QQ群联系买家，共出售了9313条客户信息。这也就意味着，京东大量的用户数据外泄，源于内鬼。
　　这样的数据，其实并不值钱。再来看另一起案例，2013年，媒体曝光，圆通大量订单信息外泄，在淘宝上公开出售，一条一元，需求量极大的话，每条只要0.3元。
　　地下黑市中，用户信息的公开叫卖，早就不是新鲜事。需求方只要花费100-300元，就可根据地区、卡类型、U盾、快捷方式等打包购买银行卡、身份证。
　　在黑产的下游，有大量的刷单公司和羊毛党，利用这些数据进行诈骗、勒索、薅羊毛。 
　　这两年，O2O遍地开花，P2P热火朝天，导致了刷单公司和羊毛党的猖獗，一个高级刷手，一天能收入数万元。
　　P2P网贷行业野蛮扩张的时期，也是羊毛党疯狂薅钱的时刻，有不少P2P平台，因产品设计疏漏、安全系统问题，被硬生生薅干。
　　 
　　力量悬殊的攻防战
　　用风宁的话说，这是一场实力悬殊的战争。
　　2014年，是美国最大金融服务机构之一——摩根大通银行，遭到黑客攻击，约7600万家庭和700万小企业客户的姓名、地址、电话号码、电邮信息外泄。
　　今年4月，一起震惊世界的网络攻击发生在孟加拉国，该国央行被网络黑客盗走了1亿美金。卡巴斯基实验室创始人尤金·卡巴斯基提出，各国金融系统可能会遭遇越来越多的黑客攻击。

　　黑客盯上金融行业，是顺理成章的事情，因为这个行业多金，且有大量高性价比的用户数据。 
　　风宁也注意到这个趋势。从这些案例都能看出，黑客的技术，已非常前沿，并出现了跨国合作、交互。 
　　而现在的安全技术，大部分都是被动保护。从理论上说，一般都是先有攻击，再有应对，在时间上就有滞后性。
　　攻防的悬殊，正在持续加大。风宁认为，最核心的原因，在于信息的不对等。
　　风宁称，前段时间，某手机充值平台漏洞被黑客发现，用一个小工具进行修改后，充值1分，就能入账100元。
　　立马变成一场薅羊毛的盛宴。
　　黑客们在各个微信群里扩散，并附上完整攻略、小工具。
　　“黑客们的心理就是，我一个人玩，不如大家一起玩”，风宁说，这种共薅羊毛、显摆的心理，导致黑产内的攻击技术是共享的。
　　然而，安全公司之间，信息却是封闭的，很多时候，安全公司把防守经验作为内部资料留存，如果防守失败，更是家丑不可外扬。
　　于是，双方实力越发悬殊。
　　也有人尝试突破这层壁垒。比如，乌云网，白帽子黑客可以在乌云网上公布自己发现的企业漏洞。但大多“白帽子”曝的web应用漏洞，和业务关联度不深，没有实际指导性。
　　有实力的公司，如腾讯、阿里等，自建了SRC（安全应急响应中心），这也是一套悬赏机制——白帽黑客可以发现他们网站的漏洞，提交上来就给予一定的金额奖励。
　　但这些方式，都无法本质上解决信息不对称的问题。 
　　风宁提出了一个新的解决方式。2016年，通付盾攻防实验室悬赏500万，公开全社会征集黑产和羊毛党线索，可以是他们的操作手法、技术手段以及特有的工具，任何有价值的线索都可能被采纳。 
　　因此，风宁把奖励等级分为100到5万等多个等级，根据线索价值支付金额。
　　“提供线索的人，最有可能是黑产内部的人”，风宁试图用金钱“策反”他们，比如前段时间的充值时间，很有可能一个羊毛党，薅完之后就将线索卖了。 
　　这还只是一个开始，风宁称，如果效果好，2017年，悬赏金额将增加到2000万。 
　　“这样就可以帮助企业有效止损，本来要被薅走100万，可能20万时候我们就发现了漏洞”，风宁说，他就想通过这种方式，建立起安全与黑产的纽带，让信息在一定程度上流通。 值得一提的是，这个有奖征集，与其他的平台征集完全不同，征集对象不再局限在有技术基础的安全人员和白帽子，普通网民也可以参与。 
　　比如一个打车的用户，发现司机在打车软件中刷单，都可以举报。风宁试图打破行业壁垒，让所有有价值的线索汇聚。
　　风宁这种对抗黑产的方式，倒真有点“借力打力”的意思——借着黑产链条内人性的贪婪，来遏制黑产。