白帽子提交世纪佳缘漏洞后被抓3个月 拷问安全边界
雷帝网 雷建平 7月5日报道
谁也没有想到,在乌云网提交关于世纪佳缘的漏洞,会引发一个白帽子被捕。更让人意想不到的是,自称是白帽子实习生袁炜的父亲致第四届网络安全大会的公开信会引发舆论轩然大波。
这封信称,白帽子袁炜因在乌云网提交世纪佳缘漏洞而遭到后者举报被抓。
事情的缘由是,袁炜在2015年12月3日发现世纪佳缘网站存在漏洞,于次日向世纪佳缘网提交发现的漏洞,同年12月7日,世纪佳缘在乌云上确认了该漏洞并致谢。
2016年1月18日,世纪佳缘报警称有900多条有效数据被非法获取。2016年3月8日,袁炜遭到警方刑事拘留,并于4月12日被批准逮捕。
一直到今天袁炜都被关押。雷帝网致电公开信中留下的电话,袁炜父亲说,袁炜已被关押了好几个月,这个事情对全家人来说都是晴天霹雳。“我们很想知道袁炜是否真的触犯了法律。”
乌云内部人士在朋友圈说,关于白帽子袁炜被抓这个事件,乌云将在本周五的白帽子大会上打破沉默。乌云邀请了公安和司法领域的多位权威人士,与企业和白帽子做面对面的探讨。
白帽子行为并不受法律保护
所谓白帽子,描述的是正面的黑客,其可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞。系统可在被其他人(例如黑帽子)利用之前来修补漏洞。
白帽子对应的是灰帽子和黑帽子。百度百科资料显示,灰帽子,他们擅长攻击技术,但不轻易造成破坏,他们精通攻击与防御,同时头脑里具有信息安全体系的宏观意识;
黑帽子,他们研究攻击技术非法获取利益,通常有着黑色产业链。
不过,白帽子也游离于灰色地带,补天漏洞平台前负责人赵武日前对京华时报表示,现在厂商和白帽子之间形成了一种默契,民不举官不究而已。
赵武说,“很多白帽子并不清楚这一点,以为自己的行为是合理合法的。但是企业一旦较真,白帽子的行为是不受法律保护的。”
在事件被曝光后,世纪佳缘几乎成白帽子们的“公敌”。世纪佳缘内部人士对雷帝网表示,世纪佳缘7月3日晚上遭遇来自多个省市的IP地址攻击,有北京的,有杭州的,这和袁炜父亲在公开信中的说法一致。
实际上,袁炜的事情爆发后,乌云创始人曾私下想找世纪佳缘和解,但在世纪佳缘举报,警方介入后,事态已经脱离了世纪佳缘的控制范围。
世纪佳缘CEO吴琳光说,“我们报警的初衷也是为了对用户隐私和信息安全负责,并不针对任何个人或群体。”
吴琳光指出,今年5月,袁炜家属也和世纪佳缘同事、乌云三方坐在一起沟通过此事,但这个事情已经进入司法公诉程序。“我们能做的有限,毕竟起诉人不是世纪佳缘,而是检方。”
世纪佳缘否认“钓鱼”
袁炜被抓事件发生后,世纪佳缘CEO吴琳光在知乎上讲述了事情的来龙去脉。吴琳光知乎上表示:
“2015年12月4日,乌云依照行业惯例通知世纪佳缘网站存在SQL数据库注入漏洞。
事实上,世纪佳缘负责网络安全的同事在12月3日晚上就发现有多个IP地址对网站进行SQL注入攻击。攻击一直持续到12月4日晚上直至我们完全修复。
事后统计发现,攻击总次数累计达到4000余次,共有900多条有效数据被攻击者获取。攻击者会如何使用这些信息数据我们不得而知,出于对用户数据和信息安全的担忧,我们还是选择了报警。
警方调查后发现,涉案人袁炜于2015年12月3日和4日使用黑客软件Sqlmap扫描世纪佳缘网站,通过漏洞获取了网站数据。
依照刑法,侵入计算机信息系统,获得存储、处理或传输的数据超过500条就属于刑事犯罪的范畴了。今年4月12日,北京市朝阳区人民检察院依据“非法获取计算机信息系统数据犯罪”批准逮捕涉案人袁炜。
目前案件还在走司法程序,我们也相信司法机关会依据事实公平公正处理这个案子。
网上流传世纪佳缘钓鱼白帽子的说法,在这里告诉大家一个事实:
从乌云通知我们有漏洞至今,世纪佳缘都从未获得过漏洞提交者(即涉案人袁炜)的联系方式,也从未与他取得联系,钓鱼一说是安在我们头上‘莫须有’的罪名。”
此外,一位世纪佳缘内部人士表示,“世纪佳缘报警时,我们也不知道他(袁炜)就是漏洞提交者,我们也给警方提交了相关证据,直到警方抓到人,通知我们时才知道原来数据获取者和漏洞提交者是同一个人。”
上述人士称,“白帽子们的情绪我能理解,但世纪佳缘真的没有在‘钓鱼’。”
世纪佳缘官方也说,在警方披露调查结果前,世纪佳缘并不了解网站攻击者与漏洞提交者有何种关联。世纪佳缘报警是出于对用户隐私和公民信息安全考虑,并不针对任何个人或组织。
白帽子们怎么看
袁炜父亲称,袁炜只是众多白帽子中普通的一员,这个事情一旦被认定犯罪成为判例,对广大白帽子群体影响很大。
袁炜父亲还说,“作为袁炜的父亲,作为众多白帽子的家属中的一员,感谢各媒体和专家持续关注此事,也希望能给袁炜及其身后众多的白帽子一个公平的评价和对待。”
一位业内人士指出,纯粹从法律的角度看看,12月4日袁炜的行为逾越了法律的边界,按照我国法律规定,构成非法侵入计算机信息系统罪的认定标准中,有一条是获取身份认证信息500组以上。
按照这一标准,袁炜获取了超过900条有效数据,或许是检方批捕袁炜的主要原因。很多白帽子都此案爆发后,都曾经在网上表示之前并不清楚国内还有这样一个法律条文。
上述人士也指出,但袁炜的行为是否存在着主观故意,这应该也会是后续审判中,法官会考虑的因素。
袁炜在乌云的个人页面显示,在乌云上他是一个“实习白帽子”,除世纪佳缘外,从10月到12月袁炜共在乌云平台提交了11个各类企业的安全漏。
这11个漏洞中,有10个是在2015年10月19至2015年12月4日这不到两个月的时间,或许存在这样一种可能:
作为乌云实习白帽子的袁炜,既不清楚法律的边界,同时对Sqlmap软件也不是特别熟悉。这一点,袁炜妻子也曾经对乌云平台表示类似的观点。
目前,世纪佳缘和乌云平台都在持续关注这个事情,各方也希望事情能得到圆满的解决。
以下是袁炜父亲的公开信:
—————————————————
自媒体雷建平是雷建平的新号,主要是爆料为主,与雷帝触网是兄弟账号,雷帝触网由资深媒体人雷建平创办,若转载请写明来源。