在白帽子們看來,這就是一次普通得不能再普通的找漏洞行為;在世紀(jì)佳緣公司看來,這是在保護(hù)用戶數(shù)據(jù)上做了一個(gè)正常的決定。但是當(dāng)這兩者碰到一起,就演變成了白帽子圈子里不亞于一場地震的抓人事件。誰對(duì)誰錯(cuò)?現(xiàn)在很難說清,或許在多年以后,袁煒的遭遇,會(huì)成為安全行業(yè)發(fā)展歷史上的一個(gè)標(biāo)志性事件。
先獲感謝后被舉報(bào)
白帽子行業(yè)的傳奇人物、補(bǔ)天漏洞平臺(tái)前負(fù)責(zé)人趙武這段時(shí)間接到了很多白帽子打來的電話,或憤怒,或擔(dān)憂,這些白帽子和他說的都是一件事,即現(xiàn)在國內(nèi)白帽子圈子里關(guān)注度最高的“袁煒事件”。
袁煒是互聯(lián)網(wǎng)漏洞報(bào)告平臺(tái)“烏云”上的一名白帽子。去年12月份,他在烏云提交了其發(fā)現(xiàn)的婚戀交友網(wǎng)站世紀(jì)佳緣的系統(tǒng)漏洞。在世紀(jì)佳緣確認(rèn)、修復(fù)了漏洞并按烏云平臺(tái)慣例向漏洞提交者致謝后,事情突然發(fā)生轉(zhuǎn)折。世紀(jì)佳緣在一個(gè)多月后以“網(wǎng)站數(shù)據(jù)被非法竊取”為由報(bào)警,4月份,袁煒被司法機(jī)關(guān)逮捕。在不久前的第四屆網(wǎng)絡(luò)安全大會(huì)上,袁煒的父親發(fā)出公開信為兒子鳴冤,讓袁煒的遭遇成為網(wǎng)絡(luò)安全圈的熱門事件。
關(guān)于袁煒被抓,坊間傳出世紀(jì)佳緣“釣魚”的說法,有人質(zhì)疑為何世紀(jì)佳緣在向?yàn)踉坪吐┒刺峤徽咧轮x后的一個(gè)多月又突然報(bào)警。對(duì)此,世紀(jì)佳緣方面給出了回應(yīng):“自烏云通知公司網(wǎng)站存在漏洞至今,世紀(jì)佳緣從未獲得過漏洞提交人的聯(lián)系方式并與之取得聯(lián)系。在警方披露調(diào)查結(jié)果前,世紀(jì)佳緣并不了解網(wǎng)站攻擊者與漏洞提交者有何種關(guān)聯(lián)。世紀(jì)佳緣報(bào)警是出于對(duì)用戶隱私和公民信息安全的考慮,并不針對(duì)任何個(gè)人或組織。”
按照袁煒父親在公開信中的描述,袁煒于去年12月3日下午發(fā)現(xiàn)世紀(jì)佳緣網(wǎng)站漏洞;當(dāng)天晚上,他為了驗(yàn)證漏洞,又通過發(fā)現(xiàn)的漏洞瀏覽了世紀(jì)佳緣的部分?jǐn)?shù)據(jù),確認(rèn)漏洞存在;次日上午,袁煒向?yàn)踉铺峤辉撀┒?,同一天烏云通知世紀(jì)佳緣;12月7日,在完成漏洞修復(fù)后,世紀(jì)佳緣在烏云平臺(tái)確認(rèn)漏洞的頁面向該漏洞提交者表示感謝。今年1月18日,世紀(jì)佳緣向北京市公安局朝陽分局報(bào)案稱數(shù)據(jù)被竊??;3月8日,袁煒被刑事拘留;4月12日,北京朝陽檢察院以涉嫌非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)犯罪,批捕袁煒。
世紀(jì)佳緣向記者介紹的事件時(shí)間順序,與袁父所說基本相同,而世紀(jì)佳緣的內(nèi)部人士則向記者補(bǔ)充了一些內(nèi)情:去年12月3日晚,世紀(jì)佳緣安全維護(hù)人員發(fā)現(xiàn)有多個(gè)來自國內(nèi)不同省市的IP地址向其網(wǎng)站發(fā)起了攻擊;12月7日,在完成漏洞修復(fù)后,世紀(jì)佳緣向?yàn)踉坪吐┒刺峤徽弑硎靖兄x。“正是這次表示感謝的舉動(dòng),被人傳成了‘釣魚’。”世紀(jì)佳緣相關(guān)人士說道。至于為何在表示感謝一個(gè)月后又突然報(bào)警,世紀(jì)佳緣CEO吳琳光則在知乎上解釋稱:“在漏洞修復(fù)過程中,我們發(fā)現(xiàn)有900多條有效數(shù)據(jù)被攻擊者獲取,出于對(duì)用戶數(shù)據(jù)和信息安全的擔(dān)憂,我們選擇了報(bào)警。”他同時(shí)表示,“在警方披露調(diào)查結(jié)果之前,我們并不知道提交漏洞的白帽子和攻擊者是同一個(gè)人。”
更好還是更壞的未來
“這次可能會(huì)成為白帽子史上的一個(gè)標(biāo)志性事件。”趙武認(rèn)為,袁煒事件的最終解決和后續(xù)影響,可能左右白帽子這個(gè)群體的今后走向,“未來白帽子的生存環(huán)境會(huì)更好或者更壞都有可能。”
趙武表示,以袁煒事件為契機(jī),國內(nèi)主要的漏洞響應(yīng)平臺(tái)應(yīng)該聯(lián)合起來,主動(dòng)和執(zhí)法部門進(jìn)行溝通和研究,明確白帽子行為的界限,有一個(gè)明確的司法界定,把原來灰色的部分真正變成白色。
這樣既能讓真正的白帽子的工作有了保障,也能預(yù)防白帽子“涉黑”。
“這是更好的可能性。當(dāng)然也有更壞的。”趙武說,如果白帽子和企業(yè)之間的對(duì)抗加深,矛盾加劇,那么從執(zhí)法部門的角度考慮,很可能就會(huì)對(duì)白帽子的管理更加嚴(yán)苛,白帽子的活動(dòng)空間就會(huì)被壓縮,面臨更多個(gè)人安全上的威脅。那樣對(duì)白帽子整體打擊會(huì)很大。
“不管未來如何,眼下起碼有一點(diǎn)需要改進(jìn),那就是漏洞平臺(tái)的作用。”趙武認(rèn)為,像烏云這樣的平臺(tái),應(yīng)該為白帽子們提供更好的法律支持,而不是把白帽子推出去,讓他們自己去打官司。
記者也了解到,將于下月召開的中國互聯(lián)網(wǎng)安全大會(huì)上的網(wǎng)絡(luò)安全與法治分論壇,將邀請(qǐng)國內(nèi)、國外的相關(guān)專家就白帽子的法律邊界問題進(jìn)行探討。