谁也没有想到,在乌云网提交关于世纪佳缘的漏洞,会引发一个白帽子被捕。更让人意想不到的是,自称是白帽子实习生袁炜的父亲致第四届网络安全大会的公开信 会引发舆论轩然大波。这封信称,白帽子袁炜因在乌云网提交世纪佳缘漏洞而遭到后者举报被抓。事情的缘由是,袁炜在2015年12月3日发现世纪佳缘网站存 在漏洞,于次日向世纪佳缘网提交发现的漏洞,同年12月7日,世纪佳缘在乌云上确认了该漏洞并致谢。
2016年1月18日,世纪佳缘报警称有900多条有效数据被非法获取。2016年3月8日,袁炜遭到警方刑事拘留,并于4月12日被批准逮捕。
一直到今天袁炜都被关押。雷帝网致电公开信中留下的电话,袁炜父亲说,袁炜已被关押了好几个月,这个事情对全家人来说都是晴天霹雳。“我们很想知道袁炜是否真的触犯了法律。”
乌云内部人士在朋友圈说,关于白帽子袁炜被抓这个事件,乌云将在本周五的白帽子大会上打破沉默。乌云邀请了公安和司法领域的多位权威人士,与企业和白帽子做面对面的探讨。
白帽子行为并不受法律保护
所谓白帽子,描述的是正面的黑客,其可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞。系统可在被其他人(例如黑帽子)利用之前来修补漏洞。
白帽子对应的是灰帽子和黑帽子。百度百科资料显示,灰帽子,他们擅长攻击技术,但不轻易造成破坏,他们精通攻击与防御,同时头脑里具有信息安全体系的宏观意识;
黑帽子,他们研究攻击技术非法获取利益,通常有着黑色产业链。
不过,白帽子也游离于灰色地带,补天漏洞平台前负责人赵武日前对京华时报表示,现在厂商和白帽子之间形成了一种默契,民不举官不究而已。
赵武说,“很多白帽子并不清楚这一点,以为自己的行为是合理合法的。但是企业一旦较真,白帽子的行为是不受法律保护的。”
在事件被曝光后,世纪佳缘几乎成白帽子们的“公敌”。世纪佳缘内部人士对雷帝网表示,世纪佳缘7月3日晚上遭遇来自多个省市的IP地址攻击,有北京的,有杭州的,这和袁炜父亲在公开信中的说法一致。
实际上,袁炜的事情爆发后,乌云创始人曾私下想找世纪佳缘和解,但在世纪佳缘举报,警方介入后,事态已经脱离了世纪佳缘的控制范围。
世纪佳缘CEO吴琳光说,“我们报警的初衷也是为了对用户隐私和信息安全负责,并不针对任何个人或群体。”
吴琳光指出,今年5月,袁炜家属也和世纪佳缘同事、乌云三方坐在一起沟通过此事,但这个事情已经进入司法公诉程序。“我们能做的有限,毕竟起诉人不是世纪佳缘,而是检方。”
世纪佳缘否认“钓鱼”
袁炜被抓事件发生后,世纪佳缘CEO吴琳光在知乎上讲述了事情的来龙去脉。吴琳光知乎上表示:
“2015年12月4日,乌云依照行业惯例通知世纪佳缘网站存在SQL数据库注入漏洞。
事实上,世纪佳缘负责网络安全的同事在12月3日晚上就发现有多个IP地址对网站进行SQL注入攻击。攻击一直持续到12月4日晚上直至我们完全修复。
事后统计发现,攻击总次数累计达到4000余次,共有900多条有效数据被攻击者获取。攻击者会如何使用这些信息数据我们不得而知,出于对用户数据和信息安全的担忧,我们还是选择了报警。
警方调查后发现,涉案人袁炜于2015年12月3日和4日使用黑客软件Sqlmap扫描世纪佳缘网站,通过漏洞获取了网站数据。
依照刑法,侵入计算机信息系统,获得存储、处理或传输的数据超过500条就属于刑事犯罪的范畴了。今年4月12日,北京市朝阳区人民检察院依据“非法获取计算机信息系统数据犯罪”批准逮捕涉案人袁炜。
目前案件还在走司法程序,我们也相信司法机关会依据事实公平公正处理这个案子。
网上流传世纪佳缘钓鱼白帽子的说法,在这里告诉大家一个事实:
从乌云通知我们有漏洞至今,世纪佳缘都从未获得过漏洞提交者(即涉案人袁炜)的联系方式,也从未与他取得联系,钓鱼一说是安在我们头上‘莫须有’的罪名。”
此外,一位世纪佳缘内部人士表示,“世纪佳缘报警时,我们也不知道他(袁炜)就是漏洞提交者,我们也给警方提交了相关证据,直到警方抓到人,通知我们时才知道原来数据获取者和漏洞提交者是同一个人。”
上述人士称,“白帽子们的情绪我能理解,但世纪佳缘真的没有在‘钓鱼’。”
世纪佳缘官方也说,在警方披露调查结果前,世纪佳缘并不了解网站攻击者与漏洞提交者有何种关联。世纪佳缘报警是出于对用户隐私和公民信息安全考虑,并不针对任何个人或组织。
白帽子们怎么看
袁炜父亲称,袁炜只是众多白帽子中普通的一员,这个事情一旦被认定犯罪成为判例,对广大白帽子群体影响很大。
袁炜父亲还说,“作为袁炜的父亲,作为众多白帽子的家属中的一员,感谢各媒体和专家持续关注此事,也希望能给袁炜及其身后众多的白帽子一个公平的评价和对待。”
一位业内人士指出,纯粹从法律的角度看看,12月4日袁炜的行为逾越了法律的边界,按照我国法律规定,构成非法侵入计算机信息系统罪的认定标准中,有一条是获取身份认证信息500组以上。
按照这一标准,袁炜获取了超过900条有效数据,或许是检方批捕袁炜的主要原因。很多白帽子都此案爆发后,都曾经在网上表示之前并不清楚国内还有这样一个法律条文。
上述人士也指出,但袁炜的行为是否存在着主观故意,这应该也会是后续审判中,法官会考虑的因素。
袁炜在乌云的个人页面显示,在乌云上他是一个“实习白帽子”,除世纪佳缘外,从10月到12月袁炜共在乌云平台提交了11个各类企业的安全漏。
这11个漏洞中,有10个是在2015年10月19至2015年12月4日这不到两个月的时间,或许存在这样一种可能:
作为乌云实习白帽子的袁炜,既不清楚法律的边界,同时对Sqlmap软件也不是特别熟悉。这一点,袁炜妻子也曾经对乌云平台表示类似的观点。
目前,世纪佳缘和乌云平台都在持续关注这个事情,各方也希望事情能得到圆满的解决。
以下是袁炜父亲的公开信:
文/雷建平