在白帽子們看來��,這就是一次普通得不能再普通的找漏洞行為��;在世紀佳緣公司看來��,這是在保護用戶數(shù)據(jù)上做了一個正常的決定�����。但是當這兩者碰到一起,就演變成了白帽子圈子里不亞于一場地震的抓人事件����。誰對誰錯�?現(xiàn)在很難說清�,或許在多年以后,袁煒的遭遇����,會成為安全行業(yè)發(fā)展歷史上的一個標志性事件。
先獲感謝后被舉報
白帽子行業(yè)的傳奇人物���、補天漏洞平臺前負責人趙武這段時間接到了很多白帽子打來的電話���,或憤怒,或擔憂�����,這些白帽子和他說的都是一件事�����,即現(xiàn)在國內(nèi)白帽子圈子里關(guān)注度最高的“袁煒事件”�����。
袁煒是互聯(lián)網(wǎng)漏洞報告平臺“烏云”上的一名白帽子。去年12月份���,他在烏云提交了其發(fā)現(xiàn)的婚戀交友網(wǎng)站世紀佳緣的系統(tǒng)漏洞���。在世紀佳緣確認、修復了漏洞并按烏云平臺慣例向漏洞提交者致謝后�����,事情突然發(fā)生轉(zhuǎn)折�。世紀佳緣在一個多月后以“網(wǎng)站數(shù)據(jù)被非法竊取”為由報警,4月份�,袁煒被司法機關(guān)逮捕。在不久前的第四屆網(wǎng)絡(luò)安全大會上�,袁煒的父親發(fā)出公開信為兒子鳴冤,讓袁煒的遭遇成為網(wǎng)絡(luò)安全圈的熱門事件���。
關(guān)于袁煒被抓���,坊間傳出世紀佳緣“釣魚”的說法,有人質(zhì)疑為何世紀佳緣在向烏云和漏洞提交者致謝后的一個多月又突然報警����。對此,世紀佳緣方面給出了回應(yīng):“自烏云通知公司網(wǎng)站存在漏洞至今���,世紀佳緣從未獲得過漏洞提交人的聯(lián)系方式并與之取得聯(lián)系�。在警方披露調(diào)查結(jié)果前�����,世紀佳緣并不了解網(wǎng)站攻擊者與漏洞提交者有何種關(guān)聯(lián)���。世紀佳緣報警是出于對用戶隱私和公民信息安全的考慮�����,并不針對任何個人或組織���。”
按照袁煒父親在公開信中的描述����,袁煒于去年12月3日下午發(fā)現(xiàn)世紀佳緣網(wǎng)站漏洞;當天晚上�����,他為了驗證漏洞,又通過發(fā)現(xiàn)的漏洞瀏覽了世紀佳緣的部分數(shù)據(jù)�����,確認漏洞存在�����;次日上午��,袁煒向烏云提交該漏洞���,同一天烏云通知世紀佳緣���;12月7日,在完成漏洞修復后���,世紀佳緣在烏云平臺確認漏洞的頁面向該漏洞提交者表示感謝����。今年1月18日�����,世紀佳緣向北京市公安局朝陽分局報案稱數(shù)據(jù)被竊取�����;3月8日����,袁煒被刑事拘留��;4月12日�����,北京朝陽檢察院以涉嫌非法獲取計算機信息系統(tǒng)數(shù)據(jù)犯罪��,批捕袁煒��。
世紀佳緣向記者介紹的事件時間順序�����,與袁父所說基本相同���,而世紀佳緣的內(nèi)部人士則向記者補充了一些內(nèi)情:去年12月3日晚���,世紀佳緣安全維護人員發(fā)現(xiàn)有多個來自國內(nèi)不同省市的IP地址向其網(wǎng)站發(fā)起了攻擊����;12月7日��,在完成漏洞修復后��,世紀佳緣向烏云和漏洞提交者表示感謝���?����!罢沁@次表示感謝的舉動�,被人傳成了‘釣魚’����。”世紀佳緣相關(guān)人士說道����。至于為何在表示感謝一個月后又突然報警�,世紀佳緣CEO吳琳光則在知乎上解釋稱:“在漏洞修復過程中����,我們發(fā)現(xiàn)有900多條有效數(shù)據(jù)被攻擊者獲取,出于對用戶數(shù)據(jù)和信息安全的擔憂�,我們選擇了報警?��!彼瑫r表示,“在警方披露調(diào)查結(jié)果之前�����,我們并不知道提交漏洞的白帽子和攻擊者是同一個人�����。”
晉公網(wǎng)安備 14090202000008號 
