美国司法部修订法律,不再起诉白帽黑客善意行为

简介: 2022 年 5 月 19 日,美国司法部(DOJ)对《计算机欺诈和滥用法》(CFAA)进行了修订,将不再依据 CFAA 对安全人员的善意研究行为进行指控。

2022 年 5 月 19 日,美国司法部(DOJ)对《计算机欺诈和滥用法》(CFAA)进行了修订,将不再依据 CFAA 对安全人员的善意研究行为进行指控。

新政策指出“如果现有证据表明被告的行为是进行善意的安全研究,政府应拒绝起诉。” 该政策将“善意安全研究”定义为“仅出于善意测试、调查和/或纠正安全漏洞的目的访问计算机”,并且此类活动主要用于促进计算机设备安全性。

新政策也声称进行安全研究并不是恶意行为者的免费通行证。例如,发现设备中的漏洞以勒索其所有者,即使声称是“研究”,也不是出于善意。

这对白帽黑客而言无疑是一项重大利好政策,此后他们再也不用担心因寻找漏洞而身陷囹圄,为试图改善技术的网络安全研究人员减轻了压力。“这份 CFAA 指南有望改善那些害怕因做正确的事情而遭到报复的人(比如我)的生活。”一位网络安全人员 Chris Vickery 在推特上写道。在此之前,CFAA 的模糊界限为企业提供了以“起诉白帽黑客来遮盖丑闻”的空间。

美国副司法部 Lisa Monaca 则表示,计算机安全研究是根除漏洞、改善网络安全的重要关键驱动力。她补充说,美国司法部门从未对将“善意的计算机安全研究”作为犯罪进行起诉感兴趣,对 CFAA 的修订将支持善意的安全研究人员,他们“为共同利益消除漏洞”。

CFAA 颁布于 1986 年,经过了多次修订,最近一次是在 2008 年。它是美国重要的反黑客法律,旨在禁止黑客恶意入侵未经授权的计算机系统。CFAA 虽然不解决数据收集和使用等数据保护问题,但对于未经授权而侵入计算机并获得他人信息的行为规定了法律责任。这意味着,如果未获得授权,那么白帽黑客们将不能私自扫描网站漏洞,也不能因此获得任何非公开的数据,否则就有触犯 CFAA 的风险。白帽黑客是网络安全产业的重要组成力量,此法律的完善无疑在促进网络安全产业的健康发展。

参考链接:

https://www.justice.gov/opa/pr/department-justice-announces-new-policy-charging-cases-under-computer-fraud-and-abuse-act

https://slate.com/technology/2022/05/cfaa-justice-department-policy-update.html

目录
相关文章
|
安全 开发者 智能硬件
吴翰清:漏洞披露的前世今生 | 学习笔记
快速学习 吴翰清:漏洞披露的前世今生
143 0
|
安全
微软持法律武器诉讼 赢得僵尸网络战争
据国外媒体报道,近日美弗吉尼亚州联邦法院对微软提出的诉讼给予回应,将封禁277个同臭名昭著的Waledac僵尸网络联系在一起的互联网域名。 微软这个软件巨头使用法律武器对抗僵尸网络。此次法院判决为期数月的被命名为"Operation b49"调查的高潮,此次调查由多方协作组成,包括赛门铁克,Shadowserver Foundation,华盛顿大学以及其他多方努力。
1120 0
|
安全 数据安全/隐私保护
又一重大漏洞现身 “疯怪”危及世界互联网安全
本文讲的是又一重大漏洞现身 “疯怪”危及世界互联网安全,安全专家警告,一个潜伏多年的安全漏洞将危及计算机与网页间的加密连接,导致苹果和谷歌产品的用户在访问数十万网站时遭到攻击,包括白宫、国家安全局和联邦调查局的网站,并危及世界互联网安全。
1237 0