白帽子發布漏洞后被抓世紀佳緣否認"釣魚"執法

來源:京華時報 2016-07-05 11:40 http://www.vistrails.com/

　　世紀佳緣向記者介紹的事件時間順序，與袁父所說基本相同，而世紀佳緣的內部人士則向記者補充了一些內情：去年12月3日晚，世紀佳緣安全維護人員發現有多個來自國內不同省市的IP地址向其網站發起了攻擊；12月7日，在完成漏洞修復后，世紀佳緣向烏云和漏洞提交者表示感謝。“正是這次表示感謝的舉動，被人傳成了‘釣魚’。”世紀佳緣相關人士說道。至于為何在表示感謝一個月后又突然報警，世紀佳緣CEO吳琳光則在知乎上解釋稱：“在漏洞修復過程中，我們發現有900多條有效數據被攻擊者獲取，出于對用戶數據和信息安全的擔憂，我們選擇了報警。”他同時表示，“在警方披露調查結果之前，我們并不知道提交漏洞的白帽子和攻擊者是同一個人。”

并非第一個被抓的白帽子

　　“這不是第一次有白帽子被抓，之前也有一些白帽子被捕甚至是判刑。”趙武介紹，之前出事的白帽子，很多時候是因為對自己身份的錯誤認識和沖動。白帽子在平臺上提交的漏洞，有的時候企業并不認可，于是會激怒一些沖動的白帽子。“你不認是吧？那等著被攻擊吧！”有的白帽子真的利用發現的漏洞進行攻擊。這種行為就背離了白帽子行業的初衷，一些白帽子也因此栽了進去。“不過袁煒還不是這樣的行為，在我們看來，他的做法就是很正常的白帽子找漏洞、提交漏洞的行為，沒有越線。”趙武說。

　　世紀佳緣內部人士向記者透露，他們的安全團隊一直在分析漏洞攻擊者的行為是否惡意。他們認為，涉及到900多條有效數據被獲取，已經完全超過了常規白帽子測試的范圍，通常情況下，白帽子只需要獲取少量數據甚至不獲取數據都能夠證明網站的漏洞，在無法百分百確定獲取者意圖的情況下，為了保護信息安全，公司最終還是決定報警。而在選擇報警之前，因為存在來自國內不同地區IP地址的攻擊，世紀佳緣并未將漏洞提交者和事發當晚的其他攻擊者聯系到一起。

　　在趙武看來，袁煒的行為并不難解釋。漏洞提交平臺會給白帽子提交的漏洞打分，證據越詳細、危害越大的漏洞得分越高，這也使得白帽子們習慣于多獲取一些數據，而且以往的操作中，白帽子們獲取數據的做法并沒有遭到來自企業的反對和來自平臺的提醒，大家對此也習以為常。

　　趙武認為，企業內部的安全人員是能夠分辨出是白帽子還是惡意攻擊的，很多在企業內做安全的人本身也是白帽子。但是決定是否報警的是企業的管理層和法務部門，他們不懂技術，這種分歧可能是造成袁煒被抓的原因。