白帽子發(fā)布漏洞后被抓世紀佳緣否認"釣魚"執(zhí)法

來源:京華時報 2016-07-05 11:40 http://www.ghqlgyb.cn/

　　世紀佳緣向記者介紹的事件時間順序，與袁父所說基本相同，而世紀佳緣的內(nèi)部人士則向記者補充了一些內(nèi)情：去年12月3日晚，世紀佳緣安全維護人員發(fā)現(xiàn)有多個來自國內(nèi)不同省市的IP地址向其網(wǎng)站發(fā)起了攻擊；12月7日，在完成漏洞修復后，世紀佳緣向烏云和漏洞提交者表示感謝。“正是這次表示感謝的舉動，被人傳成了‘釣魚’。”世紀佳緣相關(guān)人士說道。至于為何在表示感謝一個月后又突然報警，世紀佳緣CEO吳琳光則在知乎上解釋稱：“在漏洞修復過程中，我們發(fā)現(xiàn)有900多條有效數(shù)據(jù)被攻擊者獲取，出于對用戶數(shù)據(jù)和信息安全的擔憂，我們選擇了報警。”他同時表示，“在警方披露調(diào)查結(jié)果之前，我們并不知道提交漏洞的白帽子和攻擊者是同一個人。”

并非第一個被抓的白帽子

　　“這不是第一次有白帽子被抓，之前也有一些白帽子被捕甚至是判刑。”趙武介紹，之前出事的白帽子，很多時候是因為對自己身份的錯誤認識和沖動。白帽子在平臺上提交的漏洞，有的時候企業(yè)并不認可，于是會激怒一些沖動的白帽子。“你不認是吧？那等著被攻擊吧！”有的白帽子真的利用發(fā)現(xiàn)的漏洞進行攻擊。這種行為就背離了白帽子行業(yè)的初衷，一些白帽子也因此栽了進去。“不過袁煒還不是這樣的行為，在我們看來，他的做法就是很正常的白帽子找漏洞、提交漏洞的行為，沒有越線。”趙武說。

　　世紀佳緣內(nèi)部人士向記者透露，他們的安全團隊一直在分析漏洞攻擊者的行為是否惡意。他們認為，涉及到900多條有效數(shù)據(jù)被獲取，已經(jīng)完全超過了常規(guī)白帽子測試的范圍，通常情況下，白帽子只需要獲取少量數(shù)據(jù)甚至不獲取數(shù)據(jù)都能夠證明網(wǎng)站的漏洞，在無法百分百確定獲取者意圖的情況下，為了保護信息安全，公司最終還是決定報警。而在選擇報警之前，因為存在來自國內(nèi)不同地區(qū)IP地址的攻擊，世紀佳緣并未將漏洞提交者和事發(fā)當晚的其他攻擊者聯(lián)系到一起。

　　在趙武看來，袁煒的行為并不難解釋。漏洞提交平臺會給白帽子提交的漏洞打分，證據(jù)越詳細、危害越大的漏洞得分越高，這也使得白帽子們習慣于多獲取一些數(shù)據(jù)，而且以往的操作中，白帽子們獲取數(shù)據(jù)的做法并沒有遭到來自企業(yè)的反對和來自平臺的提醒，大家對此也習以為常。

　　趙武認為，企業(yè)內(nèi)部的安全人員是能夠分辨出是白帽子還是惡意攻擊的，很多在企業(yè)內(nèi)做安全的人本身也是白帽子。但是決定是否報警的是企業(yè)的管理層和法務(wù)部門，他們不懂技術(shù)，這種分歧可能是造成袁煒被抓的原因。