“白帽黑客”与“黑帽黑客”相对,指正面的黑客。他们能识别出计算机或网络系统中的漏洞,将其公布给厂商修复,以免“黑帽黑客”从中盗取信息、牟利。
公开信作者、浙江杭州的袁先生称,其子袁某就是一名“白帽黑客”。2015年12月4日,袁某使用第三方漏洞报告平台乌云网账号提交了一份关于世纪佳缘网的漏洞报告,随后,世纪佳缘确认并修复了该漏洞,并致谢乌云网及袁某。
4个月后,北京警方却以涉嫌非法获取计算机信息系统数据将袁某刑事拘留。原来,世纪佳缘网今年1月报警称有4000余条实名注册信息被窃取。目前案件处于审查阶段,未有结论。袁先生在公开信中称,其子检测漏洞并无意图或主动下载数据。
“白帽黑客”检测漏洞是否构成犯罪?有业内专家指,维护网络安全的“白帽黑客”群体实则游走在法律的边缘地带。
妻子:漏洞检测为维护安全
6月26日,南都记者联系到袁某妻子戴女士,她表示公开信内容客观真实。她回忆,被警方带走前丈夫曾两次提起世纪佳缘网的漏洞。
南都记者调查发现,袁某的乌云网账号“ledoo”注册于2015年10月19日,共提交11份不同网站的漏洞报告,其中,最后提交的世纪佳缘漏洞报告时间是2015年12月4日。
戴女士称,提交完报告一段时间后,世纪佳缘曾通过乌云网联系袁某,说要馈赠礼物表达感谢,戴女士表示丈夫并没有收下礼物。她介绍,袁某热爱网络安全领域,经常看书钻研到深夜,绝非贪图礼物。
“怎么会出事呢?”戴女士认为,丈夫做“白帽黑客”以来一直未出现问题,提交漏洞报告也是为帮助世纪佳缘网维护安全。不解的戴女士联系世纪佳缘网询问,对方的回应是袁某或与该网站资料泄露事件有关。对于世纪佳缘公司的报案,戴女士称:“感觉就像被背叛,太冤屈了。”
自3月8日袁某被警方带走后,袁某家属至今未能与其见面。如今,该案已进入检方审查阶段。
世纪佳缘CEO:撰文否认“钓鱼”一说
目前“白帽黑客”提交漏洞的途径主要有两种:一是通过乌云网、360补天平台等漏洞平台;二是通过各厂商自己设立的安全应急响应中心。不过,国内厂商对网络安全的重视程度不一,也并非每家厂商都设有安全应急响应中心,仍有不少“白帽黑客”通过漏洞平台提交报告。
作为业内知名的第三方漏洞平台,乌云网拥有注册的“白帽黑客”上万人。此外,第三方漏洞平台和各企业也存在合作关系。本案涉及的世纪佳缘2012年就与乌云网建立了合作关系。
公开信引发的讨论不断发酵,但世纪佳缘官方却一直没回应。直到6月29日,世纪佳缘首席执行官(CEO)吴琳光在某论坛发文回应此事。但他表示因案件尚在公诉期间,文章内容仅代表个人观点。
吴琳光称,2015年12月3日晚,公司安全人员发现有多个IP地址对其网站进行SQ L注入攻击(注:SQ L注入攻击是黑客对数据库进行攻击的常用手段之一)。随后,安全人员通过技术手段阻断了部分攻击。次日,乌云网通知世纪佳缘其网站存在漏洞。该轮攻击持续到12月4日晚上,直至安全人员将其完全修复。事后,世纪佳缘方面统计发现,攻击总次数累计4000余次,共有900多条有效数据被攻击者获取。“出于对用户数据和信息安全的担忧,我们还是选择了报警。”吴琳光称。
吴琳光否认了“钓鱼”一说。他表示,在警方披露调查结果前,世纪佳缘并不知道提交漏洞的“白帽子”和攻击者是否同一人,“报警不针对任何个人或群体,公司也没有联系过袁某”。
