在GitHub发布某国内公司漏洞,被警察找上门!
粉丝福利:小编会从今天留言的小伙伴中随机抽赠送8.88元现金红包。娱乐抽奖,大家随缘积极参与啦,给生活一点小幸运~感谢大家的支持
最近,二狗在公司摸鱼的时候发现了这么一则震碎三观的新闻:
《员工向Github提交漏洞被叫到派出所》
这标题算是碰到二狗的G点了,
二狗对某些大公司欺压员工,动不动报警抓人的行为,深恶痛绝。
仔细看了下,事情大概是这个样子。
以下均为二狗通过网络传播的双方回复所脑补:
一位白帽子,挖到了国内某知名安全公司的漏洞,于是报告给了这家公司的“安全响应中心”。
作为一家安全公司,对系统安全那肯定是无比重视。
于是,此公司的员工跟白帽子说,可以支付他两万块钱的奖金,先把漏洞提交上来。
至此,都是一个认领漏洞的正常流程——白帽子付出了努力,公司给予一定报酬,解决漏洞。
但是,在白帽子提交漏洞之后,这家安全公司竟然不认账了。
他们对白帽子说,你提交的这个不算是漏洞,是我们系统的正常功能设定。
既然不是漏洞,那肯定不能给你这两万块钱咯。
被白嫖之后的白帽子非常生气。当然,除了B站UP主,谁被白嫖都会生气。
虽然很生气,但是此白帽也并没有把漏洞卖给黑产赚钱,而是在github提交了此漏洞。
然而,这家安全公司急了,直接选择了报警。
白帽子在完全没有料到的情况下,突然被叫到了辖区分局。
“罪状”是:把该安全公司的漏洞公开到了境外平台。
最后,这位白帽子提交漏洞的github链接还是404了。
你瞅瞅,“境外平台” 这四个字,一听就唬人,不知道的还以为是邪恶的境外势力开发的。
这不就是在利用警察叔叔的“犯罪关键词”目录呢,害人之心昭然若揭。
哎,还有,你之前不是自己都说这是业务正常功能设计吗,为什么在警察叔叔面前又改口称是漏洞了呢,自己打自己脸疼不疼?
就在这时候,二狗原本打算搜索更多相关详情,却意外发现,所谓的该公司回应和当事人的回应只出现在了网易平台上,所有的标题和内容都一模一样。
这就有点尴尬了,显然这件事情的可信度还处于一个存疑状态。
二狗先把网上流传的双方回复放在这里,大家可自行判断。
首先是该白帽子黑客的:
以下是该安全公司回应的:
不过,虽然这件事真假难辨,但是很容易就让人联想到以前发生的某婚恋平台的龌龊事件。
那个时候,乌云网还没有被封禁,广大白帽可以将发现的漏洞提交到乌云平台。相关的厂商会去认领并且修复漏洞。
袁炜,一位乌云网的普通白帽,在2015年12月份的时候,提交了一个某婚恋网站的系统漏洞。
稍后,此婚恋网站确认并且修复了漏洞,并且按照惯例,向漏洞提交者表达了感激之情。
然而,在事发一个多月后,此婚恋网站又以“网站数据被非法盗取”为由报警,逮捕了袁炜。
坊间传闻:此婚恋网站为了得到袁炜的住址等信息,谎称要给他送礼物。
在拿到信息之后,反手就报了警。
此事在白帽群体中引起轩然大波。
厂商出尔反尔,白嫖之后还要送人去坐牢。此等背信弃义的形象,让众多白帽瑟瑟发抖。
在此之前,乌云也曾曝光过携程网泄露公民信用卡信息。还曝光过12306大量乘客信息泄露。这些都极大推进了国内网络安全的历史进程。
而携程和12306也并没有搞出报警抓人的幺蛾子。
真是庙小妖风大,水浅王八多。
在互联网世界,每时每刻都发生着一场场没有硝烟的战争。
黑客们为了自己的利益,像一只只猎狗,在各个网络平台的城墙下嗅探,希望能发现墙上的裂缝,进而获取到有价值的数据。
而白帽子们的动机或多或少都有种理想主义在里面,他们大多时间要么是为了证明自己的实力,要么是为了实现自己心中的正义。
在寻找漏洞方面,白帽和黑帽所做的事情是一致的,但是目的却大不相同。
而在法律方面,较真来说,不管白帽和黑帽都是不合法的。
但是如果用所谓的合法方式来提高网络安全性,效率上会十分缓慢,一个公司不可能养太多的网络安全人员。
而且改进的动力也会很差:修复这个漏洞又不会让我多赚钱,况且漏洞也不一定会被人利用的嘛。
什么保护用户信息?嗨,做的差不多就行了,谁要是敢盗取我的用户信息,我报警啊。
报警多方便,既不会浪费本公司的资源,还有有效的震慑违法犯罪的黑客。
白帽子们更像是蝙蝠侠,在被金钱和罪恶腐蚀的网络哥谭,他们横空出世,不仅阻拦着黑客的入侵,而且也鞭策着网站主们尽快的修复漏洞。
黑客攻击,滴水不漏,基本上是不可能被追溯到,所以即使报警也毫无作用。
白帽子作为正义的一方,每发现一个漏洞就有可能为漏洞主人节省未来大量的弥补经费。
所以很多互联网公司往往不惜高价来吸引白帽。
但就是有些公司,连给白帽的这点钱都要昧掉,事后还要费劲心机地去报警。
报警解决不了黑帽,但是可以解决白帽啊,解决了白帽就不用支付赏金啦。他们的如意算盘打得邦邦响。
某些公司的无耻与龌龊,倒是跟今年发生的:
找枪手写论文,到手之后又反手敲诈商家的卢某某和雷某某,非常般配。
建议直接聘用她们。