黑客提交漏洞先獲感謝後被舉報網路安全行業或現標誌性事件
在白帽子們看來,這就是一次普通得不能再普通的找漏洞行為;在世紀佳緣公司看來,這是在保護使用者資料上做了一個正常的決定。但是當這兩者碰到一起,就演變成了白帽子圈子裡不亞於一場地震的抓人事件。誰對誰錯?現在很難說清,或許在多年以後,袁煒的遭遇,會成為安全行業發展歷史上的一個標誌性事件。
先獲感謝後被舉報
白帽子行業的傳奇人物、補天漏洞平臺前負責人趙武這段時間接到了很多白帽子打來的電話,或憤怒,或擔憂,這些白帽子和他說的都是一件事,即現在國內白帽子圈子裡關注度最高的“袁煒事件”。
袁煒是網際網路漏洞報告平臺“烏雲”上的一名白帽子。去年12月份,他在烏雲提交了其發現的婚戀交友網站世紀佳緣的系統漏洞。在世紀佳緣確認、修復了漏洞並按烏雲平臺慣例向漏洞提交者致謝後,事情突然發生轉折。世紀佳緣在一個多月後以“網站資料被非法竊取”為由報警,4月份,袁煒被司法機關逮捕。在不久前的第四屆網路安全大會上,袁煒的父親發出公開信為兒子鳴冤,讓袁煒的遭遇成為網路安全圈的熱門事件。
關於袁煒被抓,坊間傳出世紀佳緣“釣魚”的說法,有人質疑為何世紀佳緣在向烏雲和漏洞提交者致謝後的一個多月又突然報警。對此,世紀佳緣方面給出了回應:“自烏雲通知公司網站存在漏洞至今,世紀佳緣從未獲得過漏洞提交人的聯絡方式並與之取得聯絡。在警方披露調查結果前,世紀佳緣並不瞭解網站攻擊者與漏洞提交者有何種關聯。世紀佳緣報警是出於對使用者隱私和公民資訊保安的考慮,並不針對任何個人或組織。”
按照袁煒父親在公開信中的描述,袁煒於去年12月3日下午發現世紀佳緣網站漏洞;當天晚上,他為了驗證漏洞,又通過發現的漏洞瀏覽了世紀佳緣的部分資料,確認漏洞存在;次日上午,袁煒向烏雲提交該漏洞,同一天烏雲通知世紀佳緣;12月7日,在完成漏洞修復後,世紀佳緣在烏雲平臺確認漏洞的頁面向該漏洞提交者表示感謝。今年1月18日,世紀佳緣向北京市公安局朝陽分局報案稱資料被竊取;3月8日,袁煒被刑事拘留;4月12日,北京朝陽檢察院以涉嫌非法獲取計算機資訊系統資料犯罪,批捕袁煒。
世紀佳緣向記者介紹的事件時間順序,與袁父所說基本相同,而世紀佳緣的內部人士則向記者補充了一些內情:去年12月3日晚,世紀佳緣安全維護人員發現有多個來自國內不同省市的IP地址向其網站發起了攻擊;12月7日,在完成漏洞修復後,世紀佳緣向烏雲和漏洞提交者表示感謝。“正是這次表示感謝的舉動,被人傳成了‘釣魚’。”世紀佳緣相關人士說道。至於為何在表示感謝一個月後又突然報警,世紀佳緣CEO吳琳光則在知乎上解釋稱:“在漏洞修復過程中,我們發現有900多條有效資料被攻擊者獲取,出於對使用者資料和資訊保安的擔憂,我們選擇了報警。”他同時表示,“在警方披露調查結果之前,我們並不知道提交漏洞的白帽子和攻擊者是同一個人。”
更好還是更壞的未來
“這次可能會成為白帽子史上的一個標誌性事件。”趙武認為,袁煒事件的最終解決和後續影響,可能左右白帽子這個群體的今後走向,“未來白帽子的生存環境會更好或者更壞都有可能。”
趙武表示,以袁煒事件為契機,國內主要的漏洞響應平臺應該聯合起來,主動和執法部門進行溝通和研究,明確白帽子行為的界限,有一個明確的司法界定,把原來灰色的部分真正變成白色。
這樣既能讓真正的白帽子的工作有了保障,也能預防白帽子“涉黑”。
“這是更好的可能性。當然也有更壞的。”趙武說,如果白帽子和企業之間的對抗加深,矛盾加劇,那麼從執法部門的角度考慮,很可能就會對白帽子的管理更加嚴苛,白帽子的活動空間就會被壓縮,面臨更多個人安全上的威脅。那樣對白帽子整體打擊會很大。
“不管未來如何,眼下起碼有一點需要改進,那就是漏洞平臺的作用。”趙武認為,像烏雲這樣的平臺,應該為白帽子們提供更好的法律支援,而不是把白帽子推出去,讓他們自己去打官司。
記者也瞭解到,將於下月召開的中國網際網路安全大會上的網路安全與法治分論壇,將邀請國內、國外的相關專家就白帽子的法律邊界問題進行探討。
====================================分割線================================
本文轉自d1net(轉載)
相關文章
- 安芯網盾獲公安部感謝信,在網路安全專項行動中表現卓越
- Google Chrome被發現零日漏洞 可讓黑客獲取使用者資料GoChrome黑客
- 新加坡血庫資料出現網安漏洞 經專家舉報及時糾正
- WPF捕獲事件即使這個事件被標記為Handled事件
- 感覺被網路遊戲騙了遊戲
- 漏洞報告平臺的“漏洞”70%網路安全事件都是人的問題事件
- 《黑客與畫家》讀後感黑客
- 標本兼治:企業應揪出網路漏洞元凶
- 盤點:2008年網路安全行業十大事件行業事件
- TheHackerNews:2020年網路安全行業薪酬調查報告行業
- 網路安全行業的未來在哪裡?行業
- 白帽子黑客排行榜:這些中國網路安全公司榮獲微軟等巨頭致謝黑客微軟
- 中國網際網路被Struts2漏洞血洗 烏雲收超100家網站漏洞報告網站
- 中國網際網路或將被世界淘汰 !
- 2016年金融全行業網路安全狀況調研報告行業
- ##2016年金融全行業網路安全狀況調研報告行業
- Vue中使用MouseMove事件 獲取滑鼠座標頻率降低或事件卡頓Vue事件
- 反腐審計波及網際網路彩票行業:或被長期叫停行業
- 超5萬起網路犯罪事件!幕後駭客在法國被逮捕事件
- 中國日報:企業網路紅包或須納稅
- 網站防止被舉報程式碼舉 QQ 上的網頁報入口隱藏 QQ 上的網頁網站網頁
- 網路安全行情會曇花一現嗎?
- 卡巴斯基報告:70%的黑客攻擊事件瞄準Office漏洞黑客事件
- 獨家發現Chrome四大“高危”漏洞,360再獲谷歌官方致謝Chrome谷歌
- 業內新聲音黑客將在網路安全中獲得新角色黑客
- IP地址在網路安全行業有哪些應用?行業
- 高危漏洞預警:WordPressRESTAPI被利用安裝後門RESTAPI
- 《網際網路時代》筆記及觀後感筆記
- 網路安全漏洞百出你會成為黑客敲詐的目標嗎?黑客
- 中國最美女黑客現身網路黑客
- 網路公司後臺被攻擊損失近千萬元 民警千里抓“黑客”黑客
- 成為黑客和畫家 《黑客與畫家》讀後感(一)黑客
- 成為黑客和畫家 《黑客與畫家》讀後感(二)黑客
- 圓滿收官!2021網路安全行業生態大會暨金帽子年度盛典成功舉辦行業
- 網路安全行業考取哪個證書更有價值?行業
- 《黑客與畫家》中文版讀後感黑客
- 微軟 Windows 被爆零日漏洞,惡意軟體可不顯示“網路標記”下微軟Windows
- 網際網路舉報中心:“雙11”謹防三種網路詐騙