世纪佳缘网,得罪了所有的白帽子群体.....

原标题:世纪佳缘网,得罪了所有的白帽子群体.....

最近,婚恋网站世纪佳缘,得罪了所有的白帽子群体。

所谓白帽子,就是正面的黑客。他们拥有着黑客技术,却把网络安全的事情当成自己的事情,这是一群挣扎在理想和现实边缘的黑客,们可以识别网络、系统中的漏洞,但会向企业公布漏洞,不恶意利用漏洞,与之相对的是恶意利用漏洞盈利的“黑帽子”

在上周举行的中国第四届网络安全大会上,一位来自杭州的袁先生以“白帽子检测漏洞到底是不是犯罪”为题发表了一封公开信,信中提到,儿子袁炜是知名第三方漏洞平台——乌云网的注册白帽子,用户名ledoo。袁炜发现了世纪佳缘的漏洞后,告诉了世纪佳缘后却遭到逮捕。

世纪佳缘十分感动,然后报了警?

据说当时情况是这样:

袁炜是一名实习白帽子,其在2015年12月3日发现世纪佳缘网站存在漏洞(程序猿本来想在世纪佳缘找个对象,结果找了个bug),由于信心不足,他下班后又在自己家中对世纪佳缘网的漏洞进行了测试,并于次日向世纪佳缘网提交了发现的漏洞,同年12月7日,世纪佳缘确认并修复了该漏洞,同时致谢乌云网和袁炜。

2016年1月18日,世纪佳缘报警称有4000余条实名注册信息被不法分子窃取。2016年3月8日,袁炜遭到警方刑事拘留,并于4月12日被批准逮捕。罪名是基于《刑法》285条第2款,入侵获取网络金融证券系统身份认证信息 10 条以上、一般系统 500 条以上被认为情节严重。目前该案件正处于检察院审查阶段,袁炜是否违法尚未有定论。

有报道称,世纪佳缘是以送礼物道谢为名,通过“钓鱼”的方式获得了袁炜的真实身份和地址,随后袁炜被抓捕。

世纪佳缘网此举虽然合法但不合情因为白帽子与企业的合作,一般有两种。

一种是“协议邀请”,苹果,微软,特斯拉等公司都曾邀请技术人员对自己的产品发起攻击,并给破解者若干奖励。

另一种是“先斩后奏”。当厂商的服务器接入互联网,这些白帽子就发起攻击,寻找系统漏洞,找到漏洞后反馈给厂商确认并修复。

虽然先斩后奏有点胁迫的意味在,但如果白帽子不将漏洞通知给厂商,漏洞一旦被黑客广泛利用,就会造成数据泄漏,删除,服务中止等更为严重的后果。

厂商虽然不太愿意自己的漏洞被发现攻击,但是对于提供漏洞信息的白帽子,厂商一般不会去追究这些白帽子的责任,反而会给予金钱或者礼品的回报,更不会去报案,这是潜规则。

中国对计算机信息安全有严格的法律规定。入侵计算机系统,获取数据,控制权限都属违法行为。也就是说白帽子未经允许入侵任何计算机系统,无论破坏与否,获取数据与否,被入侵的公司或者机构都可以报案。

这次世纪佳缘认为自己的数据被注入,读取而报案是符合法律规定的,但是打破了厂商与白帽子之间心照不宣的潜规则。

世纪佳缘破坏规矩,抓捕白帽子,意味着:

一、世纪佳缘埋下了一颗隐患的种子,可能会因此遭到恶意攻击而出现大规模的用户数据泄露;

二、世纪佳缘基本断绝了与白帽子们的合作的可能。失去“保护”意味着世纪佳缘需要将自身的网络安全提升到无懈可击的程度,不给黑客以任何可乘之机;

三、会有大量注重隐私的用户离开世纪佳缘,造成公司业务下滑,股价下跌;

四、乌云、补天等漏洞报告平台,对企业与白帽子的合作和漏洞信息的披露亟待进一步规范。

五、将挫伤白帽们的积极性,会严重影响安全行业的持续健康发展。返回搜狐,查看更多

责任编辑:

声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。
阅读 ()
免费获取
今日搜狐热点
今日推荐