黑客提交漏洞先获感谢后被举报 网络安全行业或现标志性事件

简介:

在白帽子们看来,这就是一次普通得不能再普通的找漏洞行为;在世纪佳缘公司看来,这是在保护用户数据上做了一个正常的决定。但是当这两者碰到一起,就演变成了白帽子圈子里不亚于一场地震的抓人事件。谁对谁错?现在很难说清,或许在多年以后,袁炜的遭遇,会成为安全行业发展历史上的一个标志性事件。

先获感谢后被举报

白帽子行业的传奇人物、补天漏洞平台前负责人赵武这段时间接到了很多白帽子打来的电话,或愤怒,或担忧,这些白帽子和他说的都是一件事,即现在国内白帽子圈子里关注度最高的“袁炜事件”。

袁炜是互联网漏洞报告平台“乌云”上的一名白帽子。去年12月份,他在乌云提交了其发现的婚恋交友网站世纪佳缘的系统漏洞。在世纪佳缘确认、修复了漏洞并按乌云平台惯例向漏洞提交者致谢后,事情突然发生转折。世纪佳缘在一个多月后以“网站数据被非法窃取”为由报警,4月份,袁炜被司法机关逮捕。在不久前的第四届网络安全大会上,袁炜的父亲发出公开信为儿子鸣冤,让袁炜的遭遇成为网络安全圈的热门事件。

关于袁炜被抓,坊间传出世纪佳缘“钓鱼”的说法,有人质疑为何世纪佳缘在向乌云和漏洞提交者致谢后的一个多月又突然报警。对此,世纪佳缘方面给出了回应:“自乌云通知公司网站存在漏洞至今,世纪佳缘从未获得过漏洞提交人的联系方式并与之取得联系。在警方披露调查结果前,世纪佳缘并不了解网站攻击者与漏洞提交者有何种关联。世纪佳缘报警是出于对用户隐私和公民信息安全的考虑,并不针对任何个人或组织。”

按照袁炜父亲在公开信中的描述,袁炜于去年12月3日下午发现世纪佳缘网站漏洞;当天晚上,他为了验证漏洞,又通过发现的漏洞浏览了世纪佳缘的部分数据,确认漏洞存在;次日上午,袁炜向乌云提交该漏洞,同一天乌云通知世纪佳缘;12月7日,在完成漏洞修复后,世纪佳缘在乌云平台确认漏洞的页面向该漏洞提交者表示感谢。今年1月18日,世纪佳缘向北京市公安局朝阳分局报案称数据被窃取;3月8日,袁炜被刑事拘留;4月12日,北京朝阳检察院以涉嫌非法获取计算机信息系统数据犯罪,批捕袁炜。

世纪佳缘向记者介绍的事件时间顺序,与袁父所说基本相同,而世纪佳缘的内部人士则向记者补充了一些内情:去年12月3日晚,世纪佳缘安全维护人员发现有多个来自国内不同省市的IP地址向其网站发起了攻击;12月7日,在完成漏洞修复后,世纪佳缘向乌云和漏洞提交者表示感谢。“正是这次表示感谢的举动,被人传成了‘钓鱼’。”世纪佳缘相关人士说道。至于为何在表示感谢一个月后又突然报警,世纪佳缘CEO吴琳光则在知乎上解释称:“在漏洞修复过程中,我们发现有900多条有效数据被攻击者获取,出于对用户数据和信息安全的担忧,我们选择了报警。”他同时表示,“在警方披露调查结果之前,我们并不知道提交漏洞的白帽子和攻击者是同一个人。”

更好还是更坏的未来

“这次可能会成为白帽子史上的一个标志性事件。”赵武认为,袁炜事件的最终解决和后续影响,可能左右白帽子这个群体的今后走向,“未来白帽子的生存环境会更好或者更坏都有可能。”

赵武表示,以袁炜事件为契机,国内主要的漏洞响应平台应该联合起来,主动和执法部门进行沟通和研究,明确白帽子行为的界限,有一个明确的司法界定,把原来灰色的部分真正变成白色。

这样既能让真正的白帽子的工作有了保障,也能预防白帽子“涉黑”。

“这是更好的可能性。当然也有更坏的。”赵武说,如果白帽子和企业之间的对抗加深,矛盾加剧,那么从执法部门的角度考虑,很可能就会对白帽子的管理更加严苛,白帽子的活动空间就会被压缩,面临更多个人安全上的威胁。那样对白帽子整体打击会很大。

“不管未来如何,眼下起码有一点需要改进,那就是漏洞平台的作用。”赵武认为,像乌云这样的平台,应该为白帽子们提供更好的法律支持,而不是把白帽子推出去,让他们自己去打官司。

记者也了解到,将于下月召开的中国互联网安全大会上的网络安全与法治分论坛,将邀请国内、国外的相关专家就白帽子的法律边界问题进行探讨。

====================================分割线================================

本文转自d1net(转载)

目录
相关文章
|
1天前
|
安全 网络协议 网络安全
网络安全与信息安全:漏洞、加密与意识的三重奏
【9月更文挑战第32天】在数字世界的交响乐中,网络安全是那不可或缺的乐章。本文将带您深入探索网络安全的三大主题:网络漏洞的识别与防范、加密技术的奥秘以及安全意识的重要性。通过深入浅出的方式,我们将一起揭开这些概念的神秘面纱,并学习如何在实际生活中应用它们来保护自己的数字足迹。让我们开始这场既刺激又富有教育意义的旅程,提升个人和组织的网络安全防御能力。
|
2天前
|
存储 安全 网络安全
揭秘网络安全的盾牌与剑:漏洞防御与加密技术
【9月更文挑战第31天】在数字时代的浪潮中,网络安全和信息安全成为了保护个人隐私和企业资产的重要屏障。本文将通过浅显易懂的语言和生动的比喻,带你深入了解网络安全漏洞、加密技术的奥秘,以及如何培养安全意识。我们将一起探索网络安全的“盾牌”和“剑”,了解它们如何守护我们的数字世界。
106 61
|
2天前
|
存储 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【9月更文挑战第31天】在数字化时代,网络安全和信息安全成为了我们生活中不可或缺的一部分。本文将从网络安全漏洞、加密技术和安全意识等方面进行知识分享,帮助读者更好地了解和保护自己的网络安全。
|
2天前
|
存储 安全 算法
网络安全的盾牌与利剑:漏洞防范与加密技术解析
【9月更文挑战第31天】在数字时代的浪潮中,网络安全成为守护个人隐私和组织资产的重要屏障。本文将深入探讨网络安全中的两大关键要素:安全漏洞和加密技术。我们将从漏洞的类型、检测方法到如何有效修补,逐一剖析;同时,对加密技术的基本原理、应用实例进行详细解读。文章旨在为读者提供一套实用的网络安全知识框架,帮助提升网络防护意识和技能,确保在日益复杂的网络环境中保护好每一份数据。
14 3
|
4天前
|
存储 安全 网络安全
云计算与网络安全:技术融合下的信息安全新挑战
【9月更文挑战第29天】在数字化浪潮的推动下,云计算服务如雨后春笋般涌现,为各行各业提供了前所未有的便利和效率。然而,随着数据和服务的云端化,网络安全问题也日益凸显,成为制约云计算发展的关键因素之一。本文将从技术角度出发,探讨云计算环境下网络安全的重要性,分析云服务中存在的安全风险,并提出相应的防护措施。我们将通过实际案例,揭示如何在享受云计算带来的便捷的同时,确保数据的安全性和完整性。
|
4天前
|
SQL 安全 算法
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【9月更文挑战第29天】随着互联网的普及,网络安全问题日益严重。本文将介绍网络安全漏洞、加密技术以及安全意识等方面的内容,帮助读者了解网络安全的重要性,提高自身的网络安全意识。
|
4天前
|
存储 SQL 安全
网络安全与信息安全:构建安全防线的关键策略
本文深入探讨了网络安全与信息安全领域的核心要素,包括网络安全漏洞、加密技术以及安全意识的重要性。通过对这些关键领域的分析,旨在为读者提供一套综合性的防护策略,帮助企业和个人在日益复杂的网络环境中保障数据安全。
15 4
|
3天前
|
SQL 安全 程序员
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【9月更文挑战第30天】在数字化时代,网络安全和信息安全已成为全球关注的焦点。本文将探讨网络安全漏洞、加密技术以及提升安全意识的重要性。我们将通过代码示例,深入理解网络安全的基础知识,包括常见的网络攻击手段、防御策略和加密技术的实际应用。同时,我们还将讨论如何提高个人和企业的安全意识,以应对日益复杂的网络安全威胁。
|
2天前
|
SQL 安全 算法
数字时代的守护者:网络安全与信息安全的现代策略
【9月更文挑战第31天】在数字化时代,网络安全与信息安全成为保护个人隐私和企业资产的关键。本文将深入探讨网络安全漏洞的成因、加密技术的应用以及提升安全意识的重要性,旨在为读者提供防范网络威胁的策略和知识分享。
17 7
|
3天前
|
安全 网络安全 数据安全/隐私保护
数字时代的守护者:网络安全与信息安全的深度剖析
【9月更文挑战第30天】在数字化浪潮中,网络安全与信息安全成为我们不可忽视的盾牌。本文将深入探讨网络安全漏洞的形成、加密技术的应用以及提升安全意识的重要性,旨在为读者提供一套全面的网络安全知识体系。通过分析最新的网络攻击案例,我们将揭示防御策略和最佳实践,帮助个人和企业构筑坚固的数字防线。
15 5
下一篇
无影云桌面