在白帽子們看來(lái),這就是一次普通得不能再普通的找漏洞行為�����;在世紀(jì)佳緣公司看來(lái),這是在保護(hù)用戶數(shù)據(jù)上做了一個(gè)正常的決定�����。但是當(dāng)這兩者碰到一起�����,就演變成了白帽子圈子里不亞于一場(chǎng)地震的抓人事件�����。誰(shuí)對(duì)誰(shuí)錯(cuò)�����?現(xiàn)在很難說(shuō)清�����,或許在多年以后�����,袁煒的遭遇�����,會(huì)成為安全行業(yè)發(fā)展歷史上的一個(gè)標(biāo)志性事件�����。
先獲感謝后被舉報(bào)
白帽子行業(yè)的傳奇人物�����、補(bǔ)天漏洞平臺(tái)前負(fù)責(zé)人趙武這段時(shí)間接到了很多白帽子打來(lái)的電話�����,或憤怒,或擔(dān)憂�����,這些白帽子和他說(shuō)的都是一件事�����,即現(xiàn)在國(guó)內(nèi)白帽子圈子里關(guān)注度最高的“袁煒事件”�����。
袁煒是互聯(lián)網(wǎng)漏洞報(bào)告平臺(tái)“烏云”上的一名白帽子�����。去年12月份�����,他在烏云提交了其發(fā)現(xiàn)的婚戀交友網(wǎng)站世紀(jì)佳緣的系統(tǒng)漏洞�����。在世紀(jì)佳緣確認(rèn)�����、修復(fù)了漏洞并按烏云平臺(tái)慣例向漏洞提交者致謝后�����,事情突然發(fā)生轉(zhuǎn)折�����。世紀(jì)佳緣在一個(gè)多月后以“網(wǎng)站數(shù)據(jù)被非法竊取”為由報(bào)警�����,4月份�����,袁煒被司法機(jī)關(guān)逮捕�����。在不久前的第四屆網(wǎng)絡(luò)安全大會(huì)上,袁煒的父親發(fā)出公開(kāi)信為兒子鳴冤�����,讓袁煒的遭遇成為網(wǎng)絡(luò)安全圈的熱門(mén)事件�����。
關(guān)于袁煒被抓�����,坊間傳出世紀(jì)佳緣“釣魚(yú)”的說(shuō)法�����,有人質(zhì)疑為何世紀(jì)佳緣在向?yàn)踉坪吐┒刺峤徽咧轮x后的一個(gè)多月又突然報(bào)警�����。對(duì)此�����,世紀(jì)佳緣方面給出了回應(yīng):“自烏云通知公司網(wǎng)站存在漏洞至今�����,世紀(jì)佳緣從未獲得過(guò)漏洞提交人的聯(lián)系方式并與之取得聯(lián)系。在警方披露調(diào)查結(jié)果前�����,世紀(jì)佳緣并不了解網(wǎng)站攻擊者與漏洞提交者有何種關(guān)聯(lián)�����。世紀(jì)佳緣報(bào)警是出于對(duì)用戶隱私和公民信息安全的考慮�����,并不針對(duì)任何個(gè)人或組織�����?����!?/p>
按照袁煒父親在公開(kāi)信中的描述�����,袁煒于去年12月3日下午發(fā)現(xiàn)世紀(jì)佳緣網(wǎng)站漏洞�����;當(dāng)天晚上�����,他為了驗(yàn)證漏洞�����,又通過(guò)發(fā)現(xiàn)的漏洞瀏覽了世紀(jì)佳緣的部分?jǐn)?shù)據(jù)�����,確認(rèn)漏洞存在�����;次日上午�����,袁煒向?yàn)踉铺峤辉撀┒?����,同一天烏云通知世紀(jì)佳緣;12月7日�����,在完成漏洞修復(fù)后�����,世紀(jì)佳緣在烏云平臺(tái)確認(rèn)漏洞的頁(yè)面向該漏洞提交者表示感謝�����。今年1月18日�����,世紀(jì)佳緣向北京市公安局朝陽(yáng)分局報(bào)案稱數(shù)據(jù)被竊?����?����;3月8日�����,袁煒被刑事拘留�����;4月12日�����,北京朝陽(yáng)檢察院以涉嫌非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)犯罪�����,批捕袁煒�����。
世紀(jì)佳緣向記者介紹的事件時(shí)間順序�����,與袁父所說(shuō)基本相同�����,而世紀(jì)佳緣的內(nèi)部人士則向記者補(bǔ)充了一些內(nèi)情:去年12月3日晚,世紀(jì)佳緣安全維護(hù)人員發(fā)現(xiàn)有多個(gè)來(lái)自國(guó)內(nèi)不同省市的IP地址向其網(wǎng)站發(fā)起了攻擊�����;12月7日�����,在完成漏洞修復(fù)后�����,世紀(jì)佳緣向?yàn)踉坪吐┒刺峤徽弑硎靖兄x�����?����!罢沁@次表示感謝的舉動(dòng)�����,被人傳成了‘釣魚(yú)’�����?����!笔兰o(jì)佳緣相關(guān)人士說(shuō)道�����。至于為何在表示感謝一個(gè)月后又突然報(bào)警�����,世紀(jì)佳緣CEO吳琳光則在知乎上解釋稱:“在漏洞修復(fù)過(guò)程中�����,我們發(fā)現(xiàn)有900多條有效數(shù)據(jù)被攻擊者獲取�����,出于對(duì)用戶數(shù)據(jù)和信息安全的擔(dān)憂,我們選擇了報(bào)警�����?����!彼瑫r(shí)表示�����,“在警方披露調(diào)查結(jié)果之前�����,我們并不知道提交漏洞的白帽子和攻擊者是同一個(gè)人�����?����!?/p>
晉公網(wǎng)安備 14090202000008號(hào) 
