如何看待白帽子在烏雲網提交世紀佳緣網漏洞後被抓？

1樓：狼大

時隔5年了，現在看到這個問題有點想笑，眾白帽還是太善良了，在老夫看來，什麼情況下才會氣急敗壞，只有當你的秘密被別人發現的時候，那麼什麼情況下會氣急敗壞到要弄死你並殺一儆百的地步？當然是在你的秘密被別人搞得斷了財路的時候

2樓：阿似懂非懂

我是程式設計師，如果我的系統有低階漏洞，被人攻擊了。我首先得找自己的原因，並且向公司請罪。這種事情，告白帽子，真是不知羞恥。

3樓：王大雄

兩年過去了還要回答這個問題，是因為有點想烏雲。

無監督的信任，是導致白帽子是處於模糊定位和爭議的關鍵，其他答主以超級英雄舉例很生動貼切。

白帽的存在，本身是促進了網路安全的，因為安全領域增加了關注度、從業人員，降低了技能學習門檻，還因為相比喜歡隱匿行蹤的黑帽，它更願意為公眾或其他公司提供安全資訊：最差不過是掛著白帽名行黑帽實，這和沒有白帽比沒有區別，但大部分無論善意惡意，會告訴我來過、怎麼來，這就比我永遠蒙在鼓裡要好。

而烏雲可以說是促進安全發展的乙個重要組織。烏雲的不足或過錯並不是其核心的白帽犯法，而是幾乎完全公開的披露細節，會降低真正黑客的學習和攻擊成本，提高黑客犯罪率；但這個並不是他的罪，而是這個行業還不成熟。

以最近的滴滴順風車事件舉個例子：順風車代表的資訊共享是社會進步的乙個大勢，我們發展的過程中有些方法不成熟、出了問題，不能完全倒退。應該去改進、去提公升，比如增加人臉識別等必要驗證、一鍵報警等保障手段；同時應該果斷重罰、增加犯錯成本，否則企業逐利，不會主動去預防、去提公升。

我相信安全這個行業更是如此，其在大眾眼中多少還是有些神秘，那麼其資訊共享就非常必要，但因為一次事件就完全否定這條路，安全就更止步不前了。執法應該是要從發展角度來看問題，從來都是道高一尺魔高一丈，把道場關了，光靠六扇門、對魔的制衡總的來說還是削弱了。

對於烏雲我是深感可惜，也覺得執法過重。當然也和我能從這裡開始萌發興趣、並應用到自己企業的安全防護上，主觀有感激之情。心裡還是希望它能以乙個更易被理解、也更健壯的狀態回來。

回到這個事件，我覺得本例最大的問題是世紀佳緣CEO始終表現出一副受害者的樣子，但實際上真正的受害者是使用者，是在那些作惡的黑客、對安全事件的響應不夠積極的世紀佳緣，導致他們的資訊沒有得到有效的保障。世紀佳緣的醫生例子一點都不貼切，更形象的應該是小偷、房東、租客之間的關係，房東為了方便或省錢，不肯加強門窗的堅固、牢靠，有人發現提醒了房東，房東就說你是小偷，因為你開啟了門，但人家不開啟門、也不知道這個門是不是不夠牢靠。

再也沒有道義，那些憑一己興趣願意關注其他人安全的群體，可能就消失了，社會的安全關係又回到孤島，更不安全了。

再說犯罪。白帽的行為，是違法了、因為未經授權侵犯了隱私權，但犯罪，那要看對企業產生的影響和後果。幾億使用者的其中幾百條資料，也沒有說明是否使用者敏感資料、是否是加密後的資料，定性洞主和烏雲有罪有些操之過急。

從整個形勢看，整個環境是不安全的，大廠的洩露容易被關注，但還有數不勝數的中小型公司，每天都在發生攻擊和洩露。網警立案和偵察之難，遠遠解決不了社會需求，是需要民間自發的互助、共享、呼應，提公升整體的意識、能力。

僅從我個人而言，如果有人發現了我的漏洞、並且提供了重現路徑，促進了我的安全牢固度，我一定萬分感激；如果發現中洩露了資料，要看影響程度，而不是有罪推斷；退一萬步講，我肯定也會懷疑對方的動機、手裡是不是留了一手，但我只會更加努力去加固自己的安全防護，而不是殺雞儆猴，而讓那些有機會幫助自己的人都望而退卻，還毀了整個行業。

希望一些都能變好。

4樓：

好比一戶人家，沒有門沒有窗，但允許所有人隨便進，一旦丟了東西，第乙個找的就是告訴他要裝防盜門的傢伙。而平台對於舉報者的意義之一就在於保護舉報者的身份，畢竟不是什麼人家都那麼有素質。好了，現在的問題是如果這家人堅持報警，要走法律程式，平台方也沒什麼辦法，至於丟沒丟資料，怎麼丟的，被誰拿了，相信只有報案的人自己心裡清楚。

某些企業的負責人想帥鍋給臨時工有N種辦法，這只是其中一種罷了。人性本惡，除非能進企業的安全團隊獲取足夠的信任，否則還是怎麼黑怎麼來吧...

5樓：

18世紀中葉（2023年）的一天，美國哈佛大學圖書館突發火災，數百本哈佛牧師捐贈的重要圖書被焚毀一空，只有一本書倖免於難——前一天晚上，它被一位學生違章帶回了宿舍(哈佛大學有一項校規就是學生在圖書館借閱學校的珍貴圖書只能留在圖書館閱覽)。次日，這名學生把書交還給學校，而這本書也成為哈佛牧師捐贈圖書的孤本。在處理這一事件時，哈佛大學召開校會，校長對該學生提出了表彰，對他保留了學校最珍貴的圖書表示最高的謝意，然後當眾宣布開除這名學生。

按照這個思路去解讀世紀佳緣的做法，是沒有問題的，功是功，過是過，功過不能相抵。只是他們錯在忘記了一點，中國是個人情社會。

6樓：

今天偶然看到這個，說說我見過的白帽子。

我廠和烏雲以及挖漏洞的白帽子相處都還可以，至少我們這麼認為。

但是其實中間，有的白帽子挖掘漏洞的時候幹了什麼，我們也很清楚，只不過不願意報警，更願意息事寧人來換取以後的共同進步。

說實話，個別「白帽子」幹的事，如果報警，比題目這個嚴重得多。

還是希望平台，白帽子，廠商能盡可能合法的共同進步，並且在過程中都能收穫到該得到的利益。

7樓：楊小小小小小明

現在路人甲們看到廠商有問題已經是不敢提了，提了你就得背鍋；以後估計就是都不想提交漏洞了，遍地是漏洞，洗出資料才能賣錢悶聲發大財吶。

抓幾個進去才不會嚇住後來人呢。

至於黑帽子白帽子們的出發點和動機的問題怎麼說呢？

感覺還是相互利益交換一下靠譜。

非授權掃瞄什麼的，嚇得住明面上有頭有臉的，肯定管不住八仙過海的各路神通。

騙騙自己就好了。

牆外那些「被迫提高漏洞賞金」的估計也曾經想過送不少人進監獄吧？

一來二去估計是想想也關不完。

每年FBI好像還是會抓不少網路攻擊相關的案件，每年世界上幾大廠商漏洞賞金還是會發出來不少美金。

有一條明確的、不是模糊的紅線還是好。該通緝通緝，該發賞金發賞金！

8樓：aroot

廠商的極端路線真讓人感到心寒，程式有BUG最正常不過了，有人提出了BUG就理應認真對待BUG及修復，如果把這件事情換做為不明黑客入侵了世紀緣資料庫導致資料庫公開在網際網路上傳播，結局又是怎麼樣子的呢。

9樓：滿江樹

不管白貓黑貓，只要能抓住老鼠就是好貓。不管提交漏洞的是白帽還是黑帽，也不管他利用漏洞賺過多少錢，只要是把漏洞說出來的人，站在公司的角度來看，就應該感謝他。

現在加了這麼多的限制，說的好像是那些黑客跪著幫公司找漏洞一樣。你對白帽要求越嚴格，公司能得到的幫助就會越少，須知利用漏洞的人是肯定不會遵守你們發的這些規則的。此後，當乙個人發現漏洞時，他的最優選擇是以此謀利，再次是賣這個漏洞，而不管怎樣，選擇把這個漏洞告訴原公司的可能性挺低的，畢竟一不小心就違法了。

這算是中國特色嗎，當發現乙個問題時，不是選擇解決問題，而是選擇解決提出問題的人。不太理解為什麼這些公司這麼短視，肯把漏洞告訴你的人都是貴人啊。

10樓：

我想請問你們這些所謂的白帽子，還有那位犯罪分子的家屬們：你現實中是否也去別人家，嘗試撬門扭鎖？你沒偷東西，所以你就能去撬門？

說是幫忙測試門的強度？真可笑！誰允許你去撬門了？？

你現實中不敢，在網路中就能做？還白帽子？

還你沒賣給黑產，沒偷東西，你撬門扭鎖就有理了？！人家聘請你去測試大門強度了嗎？你現實生活中敢去撬門測試強度不？

那位犯罪分子，下次你去測試下銀行大門或者國家機關的大門強度試試？不判你個20年，一點都不冤！

11樓：江山如畫

我覺得這件事還是袁偉的錯，使用sqlmap軟體把資料庫名，欄位名跑出來就差不多了，已經完全可以證明存在SQL注入漏洞了，進一步去跑字段值就真的是過分了。

12樓：

講道理，沒什麼好撕的。因為只有白帽子才會真正在乎使用者安全。廠商在乎使用者的安全麼？

他們只在乎使用者的錢罷了。使用者資訊丟了和他們有什麼關係？只要沒有公關危機，他們才不在乎使用者的死活╮（╯＿╰）╭

價值觀都不同，還有什麼好撕的。

利益相關：曾白帽

13樓：

900 餘條資料被獲取，都是些什麼資訊？系統資訊還是使用者資訊？

世紀佳緣的使用者資料被盜，世紀佳緣作為運營者，資料保管不善應該承擔什麼責任？

我認為一直將非授權滲透測試也沒有問題，問題是企業是否會自行進行滲透測試？

使用者作為消費者如何判斷個人資訊的存在這樣的可靠性？

我不認為這次的袁煒沒責任，但是世紀佳緣一定有責任。

14樓：

wooyun 推動了國內資訊保安的發展！貢獻是要承認的。

另外，無論是來帽子、白帽子、黑帽子，只要遵守底線，都是一樣的推薦個常去的安全社群

HackerTop - Index page

15樓：

咳咳，有人見過佐羅劫道之前還要向官府備案的麼？在這個世界上，即使你是在做伸張正義的事情，也要懂得如何保護自己.....否則沒人救得了你！

16樓：黃聖涵

so，結論就是不要管這些企業的問題，人類就是脆弱，每當有陌生人的時候懷疑必定傾向對方是懷有壞意活著企圖從他那得到什麼。所以，不要去管閒事，這類人就是這樣，不熟悉你不清楚你的目的和動機，就非把那個黑色的帽子扣在你頭上，以宣洩自己的情緒，這種弱智的行為。。。還是離得遠點吧，越遠越好。

因此陌生人之間，比較安全的就是拿錢辦事，其餘不叨叨，這很實在，這很符合正常，不要錢，對方就會疑心重重，非常搞笑。說真的，你有什麼值得我們所圖的呢？

17樓：

這個問題的前幾個我不想說了，作為乙個在這個領域範圍內，我只想說你們誰沒事不經允許撬別人家門驗證別人家防盜門安全性？開鎖公司與小偷的區別的關鍵在於是否經過當事人同意與是否是110備案的合法相關技術人員。

18樓：Cylar

這件事在我看來白帽子們其實是有解的。

問題的關鍵在於白帽子的行為是否獲得了廠商的授權，以及該授權是否在刑法中有效。

大多數人預設這樣的授權是不存在的，因為顯然事前廠商不可能做這種授權。但民法上存在乙個東西叫追認，即事後的授權。這兩者法律效力是等同的。

接下來的問題是：追認作為民事行為，在刑法中是否也有效力？我認為在本例中是有效力的。

根據刑法285條第二款（檢方抓的應該就是這條），『』違反國家規定，侵入前款規定以外的計算機資訊系統或者採用其他技術手段，獲取該計算機資訊系統中儲存、處理或者傳輸的資料……『』。該法條實際並未提及授權兩字。但如果理解成：

『』即使存在授權，在授權下你白帽子入侵了資訊系統，獲取了資料，這個也是犯罪行為『』的話，這樣的邏輯顯然是不通的。故『』廠商授權白帽子進行入侵測試『』應理解為『』不違反國家規定『』的一種合法行為而被排除在犯罪之外。事實上這也是一種最為普遍的理解。

所以一旦白帽子的行為是經過授權的，那麼白帽子的行為就不觸犯刑法。

由於此處授權為民事行為，而非刑事要件，故追認效力等同於授權。而『』廠商追認白帽子進行入侵測試『』也應理解為『』不違反國家規定『』的一種合法行為而被排除在犯罪之外。

最後確認是否存在追認是極簡單的，因為主觀上世紀佳緣的CEO口口聲聲說『』他們也不想事情變成這樣，不知道抓的就是當初的白帽子，奈何現在已經到檢方手裡『』；客觀上烏雲是有世紀佳緣的確認及感謝記錄的。

推廣：如果以上邏輯得到法庭確認，擴充套件到一般白帽子的漏洞提交，只要廠商確認漏洞，即視作對白帽子入侵測試的追認授權。這樣也解決了廣大漏洞提交平台和白帽子們所擔心的法律問題。

如何看待白帽子在烏雲網提交世紀佳緣網漏洞後被抓？

如何看待路人甲在風口浪尖時提交世紀佳緣網的漏洞？

在 21 世紀，如何看待中日關係？

如何看待小公尺在港交所提交 IPO 招股書？上市對小公尺會有哪些影響？

其他用戶還看了：