“袁炜事件”并发症 国内两大漏洞平台乌云、漏洞盒子停业整顿!

“袁炜事件”并发症 国内两大漏洞平台乌云、漏洞盒子停业整顿!

2016年7月20日 14:39 数码科技
1 7
互联网那些事:国内COM/NET域名开始进入实名时代 贴图库8月开始收费服务!
浅析免费路由器背后那双眼睛:留后门劫持流量窃取用户隐私!

“袁炜事件”并发症 国内两大漏洞平台乌云、漏洞盒子停业整顿!

“袁炜事件”并发症 国内两大漏洞平台乌云、漏洞盒子停业整顿!

不知道是不是因为受到“袁炜事件”的影像,7月20日凌晨,中国最大漏洞报告平台乌云网(WooYun)突然无法访问。网站公告称,乌云及相关服务将升级,并称将在最短时间内回归。与此同时7月19日,企业级互联网测试平台漏洞盒子宣布,暂停接受互联网漏洞与威胁情报。“白帽子”黑客报告漏洞的页面已经无法查看。

对于这次漏洞报告平台的关闭原因,可以从漏洞盒子管理团队的公告中看出端倪。公告称:“近期,漏洞盒子管理团队将对互联网漏洞与威胁情报项目中的流程制度、规范等进行梳理。在改进的过程中,暂停该项目相关漏洞与威胁情报接受,新的流程将于近期上线。相信能够帮助‘白帽子’与企业之间建立真正信任的关系。”

乌云和漏洞盒子的整治行动,可能与国内“白帽子”黑客圈子里关注度最高的“袁炜事件”有关联。

袁炜是乌云上的一名白帽子。2015年12月,他在乌云提交了其发现的婚恋交友网站世纪佳缘的系统漏洞。在世纪佳缘确认、修复了漏洞并按乌云平台惯例向漏洞提交者致谢后,事情突然发生转折。世纪佳缘在一个多月后以“网站数据被非法窃取”为由报警,4月份,袁炜被司法机关逮捕。在不久前的第四届网络安全大会上,袁炜的父亲发出公开信为儿子鸣冤,让袁炜的遭遇成为网络安全圈的热门事件。

世纪佳缘CEO吴琳光对此事也高度关注,并亲自回应称:“在警方披露调查结果前,世纪佳缘并不了解网站攻击者与漏洞提交者有何种关联。世纪佳缘报警是出于对用户隐私和公民信息安全的考虑,并不针对任何个人或组织。”

袁炜事件”引发了IT业内关于“白帽子”黑客行为边界的大讨论。

国内黑客界教父级人物、腾讯玄武实验室总监于旸在微博写道:“可能很多人不知道:按《刑法》285 条第2款及相关司法解释,入侵获取金融证券系统身份认证信息10条以上、一般系统500条以上,就可以判刑。”

“正邪的分界线也绝没有那么清晰:‘白帽子’在未授权情况下对某网站或服务器的渗透测试,和真正准备盗取数据的黑客所做的准备工作是一模一样的。区别只在发现漏洞后的处置上,是报告给管理者,还是盗走数据卖掉。”软件从业人员“苏莉安”认为。

相关人士认为,如果乌云无法为“白帽子”提供相应的保护、辅导、支持、规范、自律等措施,“白帽子”黑客被捕之后也没有提供法律支援等措施,那么乌云只是保留作为漏洞报告平台的工具属性,但其社群属性就被淡化了。

“如果最终判定构成犯罪,将对整个‘白帽子’群体造成极大的震慑,没有‘白帽子’还敢去给网站寻找、发现漏洞,这对于企业的商业利益以及用户的信息安全都是非常不利的。”长期研究IT行业的律师赵占领说。

“袁炜事件”并发症 国内两大漏洞平台乌云、漏洞盒子停业整顿!

 

文章总数
2224+
标签总数
1952+
评论总数
11694+
运营天数
1131+