黑客提交漏洞先獲感謝後被舉報網路安全行業或現標誌性事件

在白帽子們看來，這就是一次普通得不能再普通的找漏洞行為；在世紀佳緣公司看來，這是在保護使用者資料上做了一個正常的決定。但是當這兩者碰到一起，就演變成了白帽子圈子裡不亞於一場地震的抓人事件。誰對誰錯？現在很難說清，或許在多年以後，袁煒的遭遇，會成為安全行業發展歷史上的一個標誌性事件。

先獲感謝後被舉報

白帽子行業的傳奇人物、補天漏洞平臺前負責人趙武這段時間接到了很多白帽子打來的電話，或憤怒，或擔憂，這些白帽子和他說的都是一件事，即現在國內白帽子圈子裡關注度最高的“袁煒事件”。

袁煒是網際網路漏洞報告平臺“烏雲”上的一名白帽子。去年12月份，他在烏雲提交了其發現的婚戀交友網站世紀佳緣的系統漏洞。在世紀佳緣確認、修復了漏洞並按烏雲平臺慣例向漏洞提交者致謝後，事情突然發生轉折。世紀佳緣在一個多月後以“網站資料被非法竊取”為由報警，4月份，袁煒被司法機關逮捕。在不久前的第四屆網路安全大會上，袁煒的父親發出公開信為兒子鳴冤，讓袁煒的遭遇成為網路安全圈的熱門事件。

關於袁煒被抓，坊間傳出世紀佳緣“釣魚”的說法，有人質疑為何世紀佳緣在向烏雲和漏洞提交者致謝後的一個多月又突然報警。對此，世紀佳緣方面給出了回應：“自烏雲通知公司網站存在漏洞至今，世紀佳緣從未獲得過漏洞提交人的聯絡方式並與之取得聯絡。在警方披露調查結果前，世紀佳緣並不瞭解網站攻擊者與漏洞提交者有何種關聯。世紀佳緣報警是出於對使用者隱私和公民資訊保安的考慮，並不針對任何個人或組織。”

按照袁煒父親在公開信中的描述，袁煒於去年12月3日下午發現世紀佳緣網站漏洞；當天晚上，他為了驗證漏洞，又通過發現的漏洞瀏覽了世紀佳緣的部分資料，確認漏洞存在；次日上午，袁煒向烏雲提交該漏洞，同一天烏雲通知世紀佳緣；12月7日，在完成漏洞修復後，世紀佳緣在烏雲平臺確認漏洞的頁面向該漏洞提交者表示感謝。今年1月18日，世紀佳緣向北京市公安局朝陽分局報案稱資料被竊取；3月8日，袁煒被刑事拘留；4月12日，北京朝陽檢察院以涉嫌非法獲取計算機資訊系統資料犯罪，批捕袁煒。

世紀佳緣向記者介紹的事件時間順序，與袁父所說基本相同，而世紀佳緣的內部人士則向記者補充了一些內情：去年12月3日晚，世紀佳緣安全維護人員發現有多個來自國內不同省市的IP地址向其網站發起了攻擊；12月7日，在完成漏洞修復後，世紀佳緣向烏雲和漏洞提交者表示感謝。“正是這次表示感謝的舉動，被人傳成了‘釣魚’。”世紀佳緣相關人士說道。至於為何在表示感謝一個月後又突然報警，世紀佳緣CEO吳琳光則在知乎上解釋稱：“在漏洞修復過程中，我們發現有900多條有效資料被攻擊者獲取，出於對使用者資料和資訊保安的擔憂，我們選擇了報警。”他同時表示，“在警方披露調查結果之前，我們並不知道提交漏洞的白帽子和攻擊者是同一個人。”

更好還是更壞的未來

“這次可能會成為白帽子史上的一個標誌性事件。”趙武認為，袁煒事件的最終解決和後續影響，可能左右白帽子這個群體的今後走向，“未來白帽子的生存環境會更好或者更壞都有可能。”

趙武表示，以袁煒事件為契機，國內主要的漏洞響應平臺應該聯合起來，主動和執法部門進行溝通和研究，明確白帽子行為的界限，有一個明確的司法界定，把原來灰色的部分真正變成白色。

這樣既能讓真正的白帽子的工作有了保障，也能預防白帽子“涉黑”。

“這是更好的可能性。當然也有更壞的。”趙武說，如果白帽子和企業之間的對抗加深，矛盾加劇，那麼從執法部門的角度考慮，很可能就會對白帽子的管理更加嚴苛，白帽子的活動空間就會被壓縮，面臨更多個人安全上的威脅。那樣對白帽子整體打擊會很大。

“不管未來如何，眼下起碼有一點需要改進，那就是漏洞平臺的作用。”趙武認為，像烏雲這樣的平臺，應該為白帽子們提供更好的法律支援，而不是把白帽子推出去，讓他們自己去打官司。

記者也瞭解到，將於下月召開的中國網際網路安全大會上的網路安全與法治分論壇，將邀請國內、國外的相關專家就白帽子的法律邊界問題進行探討。

====================================分割線================================

本文轉自d1net（轉載）