• 最新新闻
  • 雅虎就数据泄露案达成和解协议:金额达1.175亿美元 vivo首次5G手机预商用公开路测 首款5G产品年中亮相_IT新闻_博客园 首款Ubuntu系统手机Edge效果图曝光 雅虎就数据泄露案达成和解协议:金额达1.175亿美元 多家店铺被处以大额罚单 社交电商为何频触传销红线 雅虎就数据泄露案达成和解协议:金额达1.175亿美元 苹果二号人物离职:iPhone定价太贵是不是她的锅_IT新闻_博客园 白帽子发布漏洞后被抓 世纪佳缘否认钓鱼执法 多家店铺被处以大额罚单 社交电商为何频触传销红线 格局再变 ?AWS CDN 落地中国 雅虎就数据泄露案达成和解协议:金额达1.175亿美元 格局再变 ?AWS CDN 落地中国 白帽子发布漏洞后被抓 世纪佳缘否认钓鱼执法
  • 推荐新闻
  • 雅虎就数据泄露案达成和解协议:金额达1.175亿美元 vivo首次5G手机预商用公开路测 首款5G产品年中亮相_IT新闻_博客园 首款Ubuntu系统手机Edge效果图曝光 雅虎就数据泄露案达成和解协议:金额达1.175亿美元 多家店铺被处以大额罚单 社交电商为何频触传销红线 雅虎就数据泄露案达成和解协议:金额达1.175亿美元 苹果二号人物离职:iPhone定价太贵是不是她的锅_IT新闻_博客园 白帽子发布漏洞后被抓 世纪佳缘否认钓鱼执法 多家店铺被处以大额罚单 社交电商为何频触传销红线 格局再变 ?AWS CDN 落地中国 雅虎就数据泄露案达成和解协议:金额达1.175亿美元 格局再变 ?AWS CDN 落地中国 白帽子发布漏洞后被抓 世纪佳缘否认钓鱼执法
  • 热门标签
  • 日期归档
  • 白帽子发布漏洞后被抓 世纪佳缘否认钓鱼执法

    来源:www.honkerbase.com 发布时间:2019-09-18

    在白帽发布漏洞后,有人逮捕了世纪佳园否认“捕鱼”挖洞被抓住并折磨白帽行为边界

    在白帽子的眼里,这是一个常见的漏洞行为;在Century Jiayuan眼中,这是保护用户数据的正常决定。但当两人走到一起时,他们演变成了一个白帽圈,不亚于地震。谁是对的,谁是错的?现在很难说,也许多年后,袁浩的经历将成为安防行业发展史上的里程碑事件。

    感谢并稍后报告

    白帽行业的传奇和修补平台的前负责人赵武在这段时间收到了很多白帽子的电话,或者生气,或担心,这些白帽子和他说了一件事,那就是现在的“元羽事件”在国内白帽圈中受到最高关注。

    袁震是互联网漏洞报道平台“黑云”的白帽子。去年12月,他在发现约会网站的黑暗中提交了一个系统漏洞。经过Century Jiayuan的确认,修复了漏洞,并根据云平台的规则感谢漏洞提交者,事情突然转过来。在过去的一个月里,世纪嘉源以“网站数据被非法盗窃”为由发出警报。四月,袁浩被司法机关逮捕。在不久前的第四次网络安全会议上,袁浩的父亲发出了一封公开信给儿子的声音,使袁伟的遭遇成为网络安全界的热门事件。

    关于袁伟的被捕,有传言说本世纪的佳园是“钓鱼”。有人质疑为什么本世纪嘉源在感谢黑云和漏洞提交者一个多月后突然报警。对此,本世纪嘉源回应:“自从吴云通知公司其网站存在漏洞后,本世纪嘉源从未获得漏洞作者的联系方式并与之联系。警方披露之前调查结果显示,嘉源并不知道攻击者与漏洞提交者有什么联系。世纪嘉源警报是为了考虑用户隐私和民事信息安全,而不是针对任何个人或组织。

    根据袁伟父亲在公开信中的描述,袁伟去年12月3日下午在嘉源的网站上发现了一个漏洞。那天晚上,为了验证漏洞,他通过发现的漏洞浏览了嘉源网站的一些数据,以确认漏洞的存在。第二天早上,袁伟将这个漏洞提交给了同一天天黑的乌云。通知本世纪嘉源; 12月7日,在完成bug修复后,本世纪嘉源承认黑云平台页面中的漏洞感谢漏洞提交者。今年1月18日,嘉源向北京市公安局朝阳分局报告数据被盗; 3月8日,袁伟被刑事拘留;而4月12日,北京朝阳检察院以涉嫌非法获取计算机信息系统数据为由逮捕袁伟。

    世纪嘉源向记者介绍的事件顺序基本上与袁的父亲相同,世纪嘉源的内部人士向记者添加了一些内幕消息:去年12月3日晚,世纪嘉源的安保人员发现那里国内很多不同省市的IP地址对其网站发起攻击; 12月7日,在完成错误修复后,Century Jiayuan对云端和漏洞提交者表示感谢。 “正是这一举动表达了对'钓鱼'的感激之情。”世纪佳园说。至于为什么她在感谢她一个月之后突然发出警告,世纪嘉园首席执行官吴林光在她看来解释说:“在修复bug的过程中,我们发现攻击者从用户数据中获得了900多个有效数据对于信息安全的担忧,我们选择了警察。“他还说,“在警方披露调查结果之前,我们不知道白帽子和提交漏洞的攻击者是同一个人。”

    不是第一个被抓的白帽子

    “这不是第一次被捕的白帽子。一些白帽子已被逮捕甚至被判刑。”赵武说,以前遇到麻烦的白帽子往往是因为他的身份存在误解和冲动。白帽子在平台上提交的漏洞有时不被公司认可,因此会刺激一些冲动的白帽子。 “你不这么认为?然后等待它被攻击!”一些白帽使用发现的漏洞进行攻击。这种行为偏离了白帽行业的初衷,并且种下了一些白帽子。 “但袁震不是这样的行为。我们认为,他的方法是正常的白帽子正在寻找漏洞并提出漏洞。没有交叉线。”赵武说。

    Century Jiayuan的内部人士向记者透露,他们的安全团队一直在分析攻击者的行为是否是恶意的。他们认为,超过900次有效数据采集已经完全超出了常规白帽测试的范围。通常,白帽只需要获取少量数据甚至获取数据来证明网站的漏洞。为了保护信息安全,公司最终决定报警。在选择警报之前,由于受到国内不同地区IP地址的攻击,Century Jiayuan在事件当晚没有将漏洞提交者与其他攻击者联系起来。

    在赵武看来,袁的行为并不难解释。漏洞提交平台将对白帽提交的漏洞进行评分。证据越详细,损害越大,漏洞的得分越高。这也使白帽习惯于获得更多数据,并且在过去的操作中,白帽子获得了数据。平台上的公司和提醒都没有反对这种做法,每个人都习惯了。

    赵武认为,企业内部的安全人员可以区分是白帽还是恶意攻击。许多在企业中安全的人也是白帽子。但是,公司的管理和法律部门决定是否报告警报。他们不了解这项技术。这种分歧可能是袁震被捕的原因。

    愤怒和弄巧成拙的白帽子

    事件曝光后,世纪嘉园几乎成了白帽子的“公敌”。世纪嘉源内部人士表示,在此期间,世纪嘉园网站遇到的网络攻击次数实际上比往常有所增加。在短短的几天里,在乌云上宣布了几个世纪的漏洞。愤怒的白帽子以自己的方式表达了对世纪佳园的不满。

    “世纪佳园的做法对白帽非常有害。”白帽方明(化名)告诉记者,白帽圈对世纪嘉园有一种仇恨,也是世纪佳园漏洞的民间故事。一场自发的反击。

    上周,着名的白帽“猪人”在暗云中给世纪嘉园留下了一个漏洞。在解释中,他特意写道:“如果制造商不愿意接受来自互联网的皮疹测试,你可以在修复此漏洞后点击忽略此漏洞。漏洞,并留在制造商的回复中”请不要测试公司,公司将采取法律措施限制您的测试行为,风险自负。在国际黑名单实践之后,没有人会关注贵公司信息系统风险的安全性。“具有讽刺意味的是充实。

    赵武似乎可以理解白帽子的愤怒和“报复”,但不值得推广。过去的经验也证明,如果白帽采取过度报复,最终结果往往摇摆不定,也可能邀请公司进行反报复,这对企业和白帽来说不是一个好的对待。

    虽然生气,但自我安全也是白帽子的一个问题。因为元贞的做法在白帽子中非常普遍,如果这个案例成为先例,就意味着更多的白帽子处于危险之中。

    灰色地带不受法律保护

    虽然白帽的标题中有一个“白色”,但它们实际上处于灰色区域。来自北京富润律师事务所的律师黄金申律师曾在天天平台上对白帽进行法律培训,他表示,根据法律规定,只要未经公司授权,白帽就是非法的。挖掘漏洞。即使企业通过漏洞平台注册了平台帐户,也不能将其视为授权。

    赵武说:“只是制造商和白帽子之间存在默契。人们不关注官员。许多白帽子不知道这一点,认为他们的行为是合理合法的。但一旦公司成立,白帽子的行为就不受法律保护。“

    当黄金申对白帽进行法律培训时,有人提出在白帽发现漏洞之前,最好与企业达成协议以获得授权,但实际上这种方法几乎是不可能的。第二,黄金申警告白帽子。为了保护自己,必须将行为保持在企业可接受的范围内。不要越线,例如下载和保存对方的数据,甚至破坏对方的数据。

    通过元贞事件,许多白帽子也是第一次知道关键点。根据中国法律,确定非法入侵计算机信息系统犯罪的标准之一是获取500多套身份认证信息。从这个标准来看,袁浩已经获得了900多份有效数据,这可能是起诉逮捕袁震的主要原因。

    “这次我意识到仍有这样的规定。我之前从未关注过多少问题。”戴明戴白帽的方明说。

    关于元贞案,黄金申认为,虽然符合备案标准,但很难判断袁宇是否具有主观恶意,最终判决不应过重。如果世纪嘉源可以表达他对自己行为的理解,也可以减轻他的惩罚。

    更好或更糟的未来

    “这一次可能成为白帽历史上的一个里程碑事件。”赵武认为,元震事件的最终决议和后续影响可能会影响白帽集团未来的发展方向。 “白帽子的未来会更好。或者更糟糕的是,这是可能的。”

    赵武说,以元裕事件为契机,国内主要的脆弱性应对平台应该统一,当局和执法部门要沟通和研究,明确白帽行为的界限,并有明确的司法定义,将使原始的灰色部分真正变成白色。

    这不仅可以确保真正白帽子的工作,还可以防止白帽“变黑”。

    “这是一个更好的可能性。当然,情况更糟。赵武说,如果白帽子和企业之间的对抗加深和矛盾加剧,那么从执法部门的角度来看,白帽子的管理很可能会更严格的是,白帽的空间将被压缩,并且将面临更多的个人安全威胁。这将打击整个白帽。

    “无论未来如何,目前至少有一件事需要改进:漏洞平台的作用。”赵武认为,像武运这样的平台应该为白帽子提供更好的法律支持,而不是将其推出并让他们自己打官司。

    记者还了解到,将于下月在中国互联网安全大会上召开的网络安全和法治分论坛将邀请国内外有关专家讨论白帽的法律界限。

    友情链接: