据经济之声《天下公司》报道,最近几天,杭州的袁先生发出了一封公开信,引发了网络安全领域的广泛关注。
发信人自称是乌云网白帽子实习生袁炜的父亲,信中说,袁炜在2015年12月3日发现世纪佳缘网站存在安全漏洞,并于第二天向乌云网提交了漏洞信息,但是袁炜却被当做黑客被世纪佳缘网站报警并遭到逮捕。
袁炜的父亲认为,袁炜本身并非黑客窃取数据,而是在帮助世纪佳缘测试漏洞,被抓捕并不公平,请求各方帮助。
白帽子,就是所谓正面的黑客,可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞。这样,系统将可以在被其他人,例如黑客之类的人利用之前来修补漏洞。
《天下公司》今天向世纪佳缘方面了解相关情况,来听世纪佳缘安全部门负责人的说法:
世纪佳缘:2015年的12月3号晚上10点多的时候,我们发现有部分攻击,这个攻击一直持续到12月4号。这个过程中,我们对这种攻击行为做了一部分的阻断。后来通过服务器的分析,我们发现大概一共有900多条数据被人获取。因为我们不知道攻击者拿这个数据会做何种用途,一旦做一些非法的利用,后果对我们来说可能无法估量。所经过讨论了之后,1月18号我们选择了报警。直到今年3月份,公安机关通知我们他们已经找到了嫌疑人,然后还告诉我们这个攻击人和在乌云上提交漏洞的的白帽子是同一个人。在这之前我们并不知道这个情况,因为当天对我们进行攻击的是有很多的IP,而且还是不同地区的IP。
有报道称,世纪佳缘以送礼物道谢为名,通过“钓鱼”的方式获得了袁炜的真实身份和地址,随后袁炜被抓捕。但世纪佳缘称,这种说法纯属子虚乌有:
世纪佳缘:这个确实我们是很冤枉的,从乌云告诉我们有这个漏洞一直到今天,我们都没有通过任何渠道,包括从乌云那边获得过这个人的联系方式。也没有和他取得过联系,所以说钓鱼这件事对我们来说是很冤枉的。
在互联网安全领域有所谓的明非规则和潜规则,按照明规则,白帽子必须是被攻击公司聘请来对自己系统发起攻击,以检验系统的安全性。我们经常看到苹果,微软,特斯拉等公司发起过活动,邀请技术人员对自己的产品发起攻击,给破解者若干奖励。
但是,在实际运行中,逐渐出现了另外一种白帽子,他们并没有经过厂家授权,而是先攻击后通知。当厂商的服务器接入互联网,这些白帽子就发起攻击,寻找系统漏洞,找到后给厂商确认,而厂商一般不会去追究这些白帽子的责任,反而会给予金钱或者礼品的回报。
世纪佳缘安全部门负责人说,他们非常尊重白帽子这个群体,但是这次的情况确实很特殊,最后的结果也是他们没有料想到的:
世纪佳缘:对于白帽子来说我们一直都是很尊重的,我们的公司,我们的技术团队都非常尊重白帽子。这个案件不会改变我们对白帽子的认可,也不会改变我们和白帽子的合作。但是这个案件比较特殊,我们没有料想到这个人既是白帽子,又拿了我们的数据,这和以往我们合作过的白帽子的做法是不太一样的。我们一直去提升给用户体验和维护网站安全,也希望积极的和各个安全厂商、白帽子来共同维护网络安全的秩序。
根据刑法第二百八十五条对“非法获取计算机信息系统数据犯罪”是这样规定的:“违反国家规定,侵入计算机信息系统或者采用其他技术手段,获取计算机信息系统中存储、处理或者传输的数据”。
不过,袁炜的父亲认为,袁炜没有意图下载或者主动下载世纪佳缘的任何数据”,他只是普通白帽子一员,没有谋取任何私利,只是义务检测漏洞,发现漏洞后告知厂家。这也算是犯罪吗?
有业内人士认为,袁炜被抓事件对网络安全行业是一个警告。猎豹移动安全专家李铁军说,白帽子在做网络安全测试的时候,需要掌握一个度,否则很容易走向事情的反面:
李铁军:在做安全测试的时候,一个大家都公认的基本原则是:点到为止。如果你通过这个安全漏洞去获取了用户的一些数据,特别是获取了比较多的数据,那么就跨越了界线。因为只要通过逻辑推断这个风险是存在的就可以了,不需要获得太多数据。如果是这样,即便是你没有得到授权去做测试,大多数情况下还是会得到企业的感谢。
北京长亭科技有限公司联合创始人陈宇森则认为,要注意具体操作过程中不要有失当之处:
陈宇森:一个白帽子来测试,他的确是看了一些数据,这个其实就有点不应该了。比较好的做法是,你发现了这个问题,但并没有去看那么多数据,因为其实你只需要看几条就可以证明问题,就够了。他(袁炜)做的可能稍微有点越界。通过这个事情我们可以看到未授权的测试是有一定的风险的,大家还是要注意保护自己。大家对厂商来也要稍微体谅一下,因为肯定有人是好心来帮你找问题的,但是肯定也有人是又做好事又做坏事。他帮你找到问题,他发现你的问题之后,拿你的数据或怎么办?这种情况其实是不应该的,我觉得实世纪佳缘这个做法也没有什么问题。因为他的确超过限度了,对于厂商来说,如果觉得有人恶意攻击,走一个正常的司法途径是没有问题的。
同时,这件事还引发了业界对乌云等民间漏洞平台的争议。有企业认为,漏洞平台应该先告知企业修复,这样可以帮助企业规避漏洞被恶意利用的风险。另外,平台上部分漏洞的标题中仍然存在“千万”、“百万”、“银行卡”等字样,存在夸大风险的嫌疑。
有观点认为,企业需要为自己的安全漏洞埋单,但这种被倒逼的方式并不能得到大多企业的认可。第三方平台披露漏洞的方式无疑将自己摆在了部分企业的对立面。(来源:央广网)
百合网“迎娶”世纪佳缘临近 机构追捧定向融资
世纪佳缘宣布股东批准合并协议 将成为私有公司
百合牵手世纪佳缘 是“爱情买卖”吗?
百合网、世纪佳缘“婚事”多磨
世纪佳缘遭“公平性”调查 中概股回归加速风险潜藏
搜索更多: 世纪佳缘