本文讲的是
网易SRC指责白帽子私自披露已修复漏洞,强势表态违刑必究,
网络安全法实施第一天,网易安全应急响应中心(NSRC)和一位白帽子争执了起来。
在今天下班时分,网易SRC发布了一则言辞极为激烈的声明,指责平台上有白帽子不遵守平台漏洞测试原则,未经授权情况下,擅自公开披露了一例已修复漏洞的细节。
以下为声明全文:
网易安全应急响应中心一直秉承合作、开放的心态与广大白帽子切磋交流,也非常感谢每一位支持网易安全建设的安全伙伴。《中华人民共和国网络安全法》于即日起正式实施,我们呼吁每一位白帽子仔细研读该法律条文,并在进行安全测试时定要遵纪守法,避免在做网络安全检测时面临不必要的风险,这样不仅是对法律的敬重,也是对自身的保护。
近期发现个别白帽子在网易某漏洞测试活动中,违反漏洞测试原则,在未经网易及NSRC授权的情况下,擅自公开披露漏洞细节,让广大网易产品用户置于潜在的风险中,并且其在披露漏洞细节一文以及个人微博中部分所述与事实不符,事后沟通时,其并未积极配合消除影响,给我们后续降低用户面临的风险带来极大的被动和额外的代价。
在此,NSRC对此事进行如下说明:
2017-04-14 15:19 该白帽子报告已提交。
2017-04-14 15:19 该白帽子提交的报告正在审核中。
2017-04-14 17:52 该白帽子提交的报告已确认。
2017-04-14 17:52 该白帽子提交的报告已评分,本次报告获得10积分,对应贡献币400枚。
2017-04-14 18:07 该白帽子提交的报告重新评估后获得10积分,对应贡献币600枚。
2017-04-21 产品团队推出第一个修复后的更新版本,并于线上测试。
2017-04-22 该白帽子在博客、微博等未经网易授权对漏洞细节进行了披露。
该白帽子在未经网易授权的情况下,擅自公开披露漏洞细节,违反了NSRC平台规则:
《网易安全应急响应中心安全报告处理说明》中 “基本原则”说明:
“未经允许请勿在任何公众场合或平台讨论或披露产品漏洞细节。如有上述行为,网易将有权追究其法律责任。”
同时在《中华人民共和国网络安全法》第三章第二十六条中也有相关法律约束:
“开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。”
针对于此种不规范的行为,网易安全应急响应中心决定,撤回该白帽子此漏洞的奖励,该用户提交的其他漏洞不受影响。对于情节严重者,网易有权追究其法律责任。并且,对于白帽子违反规则进而构成刑事犯罪的行为,网易有法定义务报案、举报、并配合刑事侦查机关提供相应证据。
为规范漏洞挖掘行为,维护NSRC白帽子和NSRC平台的合法权益,NSRC决定正式施行《网易安全应急响应中心服务条款》,同时我们也呼吁每一位白帽子在进行安全测试前仔细研读《中华人民共和国网络安全法》法律条文以及NSRC平台《网易安全应急响应中心服务条款》各项条款,明确自己的责任和义务,避免在做网络安全检测时面临不必要的风险,以维护自身的合法权益。
一直以来,NSRC的白帽子们为网易甚至整个互联网的安全都做出了卓越的贡献,我们深知,网易安全建设不光需要安全工程师团队,更大的助力来自愿意支持和帮助我们的NSRC白帽子与广大网易用户!这里,也衷心感谢几年来一直默默支持我们的白帽子与网易用户!透过一个个安全漏洞与一次次安全事件,我们深切体会到目前的互联网安全状况的严峻,而层出不穷的安全问题如何解决,知不易,行更难!
如何帮助产品变得更稳健,如何让用户更安心,我们一直在思考,也一直在行动。
在安全的路上,愿我们与你易路常相伴~
网易安全应急响应中心
NetEase Security Response Center
另一面,当事白帽子昨天在博客上也描述了事件的大概经过。
一个多月前帮朋友兑换的保温杯迟迟没有发货,我去找他们问其原因,结果被告知领导很重视之前文章(发出后马上被公关掉的漏洞 [已修复且推出补丁] Paper)的事情,所以所有积分被冻结了。大概 5k 左右,钱倒还好主要郁闷在积分被冻结并没有收到通知,不然谁会去兑换呢。
好吧~~ 惹不起惹不起,漏洞赚了,钱不用花,文章也公关掉了,全场最佳。p.s 当时比较有趣的是由于积分商议的结果不是很好,当时就沟通好之后不去报漏洞了,结果万万没想到 xxD
那么,整个 Timeline 可能是这样的:
2017-04-14 15:19 您的报告已提交。
2017-04-14 15:19 您提交的报告正在审核中。
2017-04-14 17:52 您提交的报告已确认。
2017-04-14 18:07 您提交的报告已评估。
2017-04-20 15:51 奖励贡献币对应 ¥5000 。
2017-04-21 xx:xx 修复漏洞发布补丁。
2017-04-22 13:00 编辑发出技术细节。
2017-04-22 15:00 收到法务通知,文章被公关。
2017-04-xx ~~ xx 提交其他多个漏洞,兑换保温杯。
2017-05-28 00:00 询问长时间不发货原因。
2017-05-29 11:00 告知积分全部冻结。
据嘶吼了解,两方争执的是一个名为“网易云音乐客户端远程命令执行”的高危漏洞。云音乐客户端对mp3格式处理不当,攻击者构造恶意音乐文件,让用户打开后即可执行恶意程序,Windows、macOS版本均受影响。
如果事情发生在今天之后,《网络安全法》已经实施,尽管白帽子是在官方修复漏洞后才公布漏洞细节,但修复版本发布时间太短,恐怕有大量用户没有更新,尚处于风险中。因此,白帽子可能要承担起部分责任,特别是因为披露漏洞细节对用户造成了损失。
而网易在收到漏洞报告评估后,应主动向有关主管单位报告,并且用户信息可能泄露的情况下再次向用户和有关主管单位报告。如果没有报告,也需要接受处罚。
那漏洞是不是不能公布了呢?工信部旗下CNCERT曾和国内相关平台签署《中国互联网协会漏洞信息披露和处置自律公约》,漏洞信息披露要遵守“客观、适时、适度”三原则。适时适度很重要。
法律之外,网易在已经初步控制披露影响的情况下,言辞还如此激烈,其公关能力也是彪悍度爆表。但也需留神,别赢了法理,丢了人心哦。
原文发布时间为:2017年6月1日
本文作者:longye
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。