白帽子发布漏洞后被抓世纪佳缘否认"钓鱼"执法

来源:京华时报 2016-07-05 11:40 /

　　世纪佳缘向记者介绍的事件时间顺序，与袁父所说基本相同，而世纪佳缘的内部人士则向记者补充了一些内情：去年12月3日晚，世纪佳缘安全维护人员发现有多个来自国内不同省市的IP地址向其网站发起了攻击；12月7日，在完成漏洞修复后，世纪佳缘向乌云和漏洞提交者表示感谢。“正是这次表示感谢的举动，被人传成了‘钓鱼’。”世纪佳缘相关人士说道。至于为何在表示感谢一个月后又突然报警，世纪佳缘CEO吴琳光则在知乎上解释称：“在漏洞修复过程中，我们发现有900多条有效数据被攻击者获取，出于对用户数据和信息安全的担忧，我们选择了报警。”他同时表示，“在警方披露调查结果之前，我们并不知道提交漏洞的白帽子和攻击者是同一个人。”

并非第一个被抓的白帽子

　　“这不是第一次有白帽子被抓，之前也有一些白帽子被捕甚至是判刑。”赵武介绍，之前出事的白帽子，很多时候是因为对自己身份的错误认识和冲动。白帽子在平台上提交的漏洞，有的时候企业并不认可，于是会激怒一些冲动的白帽子。“你不认是吧？那等着被攻击吧！”有的白帽子真的利用发现的漏洞进行攻击。这种行为就背离了白帽子行业的初衷，一些白帽子也因此栽了进去。“不过袁炜还不是这样的行为，在我们看来，他的做法就是很正常的白帽子找漏洞、提交漏洞的行为，没有越线。”赵武说。

　　世纪佳缘内部人士向记者透露，他们的安全团队一直在分析漏洞攻击者的行为是否恶意。他们认为，涉及到900多条有效数据被获取，已经完全超过了常规白帽子测试的范围，通常情况下，白帽子只需要获取少量数据甚至不获取数据都能够证明网站的漏洞，在无法百分百确定获取者意图的情况下，为了保护信息安全，公司最终还是决定报警。而在选择报警之前，因为存在来自国内不同地区IP地址的攻击，世纪佳缘并未将漏洞提交者和事发当晚的其他攻击者联系到一起。

　　在赵武看来，袁炜的行为并不难解释。漏洞提交平台会给白帽子提交的漏洞打分，证据越详细、危害越大的漏洞得分越高，这也使得白帽子们习惯于多获取一些数据，而且以往的操作中，白帽子们获取数据的做法并没有遭到来自企业的反对和来自平台的提醒，大家对此也习以为常。

　　赵武认为，企业内部的安全人员是能够分辨出是白帽子还是恶意攻击的，很多在企业内做安全的人本身也是白帽子。但是决定是否报警的是企业的管理层和法务部门，他们不懂技术，这种分歧可能是造成袁炜被抓的原因。