1. 程式人生 > >兩大漏洞報告平臺突然關閉:烏雲和漏洞盒子宣佈停業整頓

兩大漏洞報告平臺突然關閉:烏雲和漏洞盒子宣佈停業整頓

被逮捕的“白帽子”黑客袁煒父親的公開信《白帽子檢測漏洞到底是不是犯罪?》內文。

據京華時報報道,袁煒是烏雲上的一名白帽子。2015年12月,他在烏雲提交了其發現的婚戀交友網站世紀佳緣的系統漏洞。在世紀佳緣確認、修復了漏洞並按烏雲平臺慣例向漏洞提交者致謝後,事情突然發生轉折。世紀佳緣在一個多月後以“網站資料被非法竊取”為由報警,4月份,袁煒被司法機關逮捕。在不久前的第四屆網路安全大會上,袁煒的父親發出公開信為兒子鳴冤,讓袁煒的遭遇成為網路安全圈的熱門事件。

世紀佳緣CEO吳琳光對此事也高度關注,並親自迴應稱:“在警方披露調查結果前,世紀佳緣並不瞭解網站攻擊者與漏洞提交者有何種關聯。世紀佳緣報警是出於對使用者隱私和公民資訊保安的考慮,並不針對任何個人或組織。”

“袁煒事件”引發了IT業內關於“白帽子”黑客行為邊界的大討論。

國內黑客界教父級人物、騰訊玄武實驗室總監於暘在微博寫道:“可能很多人不知道:按《刑法》285 條第2款及相關司法解釋,入侵獲取金融證券系統身份認證資訊10條以上、一般系統500條以上,就可以判刑。”

正邪的分界線也絕沒有那麼清晰:’白帽子’在未授權情況下對某網站或伺服器的滲透測試,和真正準備盜取資料的黑客所做的準備工作是一模一樣的。區別只在發現漏洞後的處置上,是報告給管理者,還是盜走資料賣掉。”軟體從業人員“蘇莉安”認為。

相關人士認為,如果烏雲無法為“白帽子”提供相應的保護、輔導、支援、規範、自律等措施,“白帽子”黑客被捕之後也沒有提供法律支援等措施,那麼烏雲只是保留作為漏洞報告平臺的工具屬性,但其社群屬性就被淡化了。

“如果最終判定構成犯罪,將對整個 白帽子 群體造成極大的震懾,沒有 白帽子 還敢去給網站尋找、發現漏洞,這對於企業的商業利益以及使用者的資訊保安都是非常不利的。”長期研究IT行業的律師趙佔領說。

國家資訊保安漏洞共享平臺的另一合作方——補天漏洞響應平臺尚未受到影響。截至7月20日凌晨2時,澎湃新聞還能在網上看到“白帽子”黑客發現並報告的漏洞。記者注意到,該平臺為奇虎360公司旗下,並寫有《白帽子行為規範》,“對於在補天漏洞響應平臺釋出的漏洞,白帽子需要保證研究漏洞的方法、方式、工具及手段的合法性,補天漏洞響應平臺對此不承擔任何法律責任。”

烏雲是中國最早的漏洞報告平臺,成立於2010年5月,主要創始人之一為百度前安全專家方小頓——這位1987年出生的國內知名黑客“劍心”,因在2010年2月和百度創始人兼董事長李彥巨集一道參加湖南衛視《天天向上》節目,因為女友高歌一首而為人所知。

烏雲網聚集了一群愛好安全技術的“宅男”,他們也被稱作“白帽子”黑客,為計算機廠商和安全研究者提供技術上的各種參考以及漏洞bug的修復。他們在烏雲上分享漏洞,只有得到核實並已經採取防範措施解決問題後才會被公開漏洞詳情。

如家酒店等開房資訊洩露、13萬條鐵路售票網站網站12306使用者資料洩露、騰訊7000萬QQ群使用者資料洩露等一系列曾經轟動社會的洩漏事件,均最早在烏雲網上由白帽子報告並引起平臺方的重視。

對於“白帽子”找到的網路安全漏洞,中國廠商的迴應並不算熱情。頂尖“白帽子”黑客團隊KEEN負責人王琦曾告訴澎湃新聞,中國廠商有時候會給予酬金,但大多數時候僅僅表示感謝。