白帽子發布漏洞后被抓世紀佳緣否認"釣魚"執法

來源:京華時報 2016-07-05 11:40 http://www.vistrails.com/

　　漫畫謝瑤

　　白帽子發布漏洞后被抓世紀佳緣否認“釣魚”挖漏洞被抓拷問白帽子行為邊界

　　在白帽子們看來，這就是一次普通得不能再普通的找漏洞行為；在世紀佳緣公司看來，這是在保護用戶數據上做了一個正常的決定。但是當這兩者碰到一起，就演變成了白帽子圈子里不亞于一場地震的抓人事件。誰對誰錯？現在很難說清，或許在多年以后，袁煒的遭遇，會成為安全行業發展歷史上的一個標志性事件。

先獲感謝后被舉報

　　白帽子行業的傳奇人物、補天漏洞平臺前負責人趙武這段時間接到了很多白帽子打來的電話，或憤怒，或擔憂，這些白帽子和他說的都是一件事，即現在國內白帽子圈子里關注度最高的“袁煒事件”。

　　袁煒是互聯網漏洞報告平臺“烏云”上的一名白帽子。去年12月份，他在烏云提交了其發現的婚戀交友網站世紀佳緣的系統漏洞。在世紀佳緣確認、修復了漏洞并按烏云平臺慣例向漏洞提交者致謝后，事情突然發生轉折。世紀佳緣在一個多月后以“網站數據被非法竊取”為由報警，4月份，袁煒被司法機關逮捕。在不久前的第四屆網絡安全大會上，袁煒的父親發出公開信為兒子鳴冤，讓袁煒的遭遇成為網絡安全圈的熱門事件。

　　關于袁煒被抓，坊間傳出世紀佳緣“釣魚”的說法，有人質疑為何世紀佳緣在向烏云和漏洞提交者致謝后的一個多月又突然報警。對此，世紀佳緣方面給出了回應：“自烏云通知公司網站存在漏洞至今，世紀佳緣從未獲得過漏洞提交人的聯系方式并與之取得聯系。在警方披露調查結果前，世紀佳緣并不了解網站攻擊者與漏洞提交者有何種關聯。世紀佳緣報警是出于對用戶隱私和公民信息安全的考慮，并不針對任何個人或組織。”

　　按照袁煒父親在公開信中的描述，袁煒于去年12月3日下午發現世紀佳緣網站漏洞；當天晚上，他為了驗證漏洞，又通過發現的漏洞瀏覽了世紀佳緣的部分數據，確認漏洞存在；次日上午，袁煒向烏云提交該漏洞，同一天烏云通知世紀佳緣；12月7日，在完成漏洞修復后，世紀佳緣在烏云平臺確認漏洞的頁面向該漏洞提交者表示感謝。今年1月18日，世紀佳緣向北京市公安局朝陽分局報案稱數據被竊??；3月8日，袁煒被刑事拘留；4月12日，北京朝陽檢察院以涉嫌非法獲取計算機信息系統數據犯罪，批捕袁煒。