袁炜挖漏洞被抓，白帽子行为该如何界定

　白帽子出于好意挖掘漏洞并通知相关企业;而世纪佳缘出于用户隐私安全考虑，将白帽子移交公安部门。两件单独出现就会是一件极好的事，一碰在一起，就一引起了轩然大波。谁对谁错，现在很难说清，或许在多年以后，袁炜的遭遇，会成为安全行业发展历史上的一个标志性事件。

　　先获感谢后被举报

　　袁炜是互联网漏洞报告平台“乌云”上的一名白帽子。去年12月份，他在乌云提交了其发现的婚恋交友网站世纪佳缘的系统漏洞。在世纪佳缘确认、修复了漏洞并按乌云平台惯例向漏洞提交者致谢后，事情突然发生转折。世纪佳缘在一个多月后以“网站数据被非法窃取”为由报警，4月份，袁炜被司法机关逮捕。在不久前的第四届网络安全大会上，袁炜的父亲发出公开信为儿子鸣冤，让袁炜的遭遇成为网络安全圈的热门事件。

　　按照袁炜父亲在公开信中的描述，袁炜于去年12月3日下午发现世纪佳缘网站漏洞;当天晚上，他为了验证漏洞，又通过发现的漏洞浏览了世纪佳缘的部分数据，确认漏洞存在;次日上午，袁炜向乌云提交该漏洞，同一天乌云通知世纪佳缘;12月7日，在完成漏洞修复后，世纪佳缘在乌云平台确认漏洞的页面向该漏洞提交者表示感谢。今年1月18日，世纪佳缘向北京市公安局朝阳分局报案称数据被窃取;3月8日，袁炜被刑事拘留;4月12日，北京朝阳检察院以涉嫌非法获取计算机信息系统数据犯罪，批捕袁炜。

　　世纪佳缘向记者介绍的事件时间顺序，与袁父所说基本相同，而世纪佳缘的内部人士则向记者补充了一些内情：去年12月3日晚，世纪佳缘安全维护人员发现有多个来自国内不同省市的IP地址向其网站发起了攻击;12月7日，在完成漏洞修复后，世纪佳缘向乌云和漏洞提交者表示感谢。“正是这次表示感谢的举动，被人传成了‘钓鱼’。”世纪佳缘相关人士说道。至于为何在表示感谢一个月后又突然报警，世纪佳缘CEO吴琳光则在知乎上解释称：“在漏洞修复过程中，我们发现有900多条有效数据被攻击者获取，出于对用户数据和信息安全的担忧，我们选择了报警。”他同时表示，“在警方披露调查结果之前，我们并不知道提交漏洞的白帽子和攻击者是同一个人。”

　　关于袁炜被抓，坊间传出世纪佳缘“钓鱼”的说法，有人质疑为何世纪佳缘在向乌云和漏洞提交者致谢后的一个多月又突然报警。对此，世纪佳缘方面给出了回应：“自乌云通知公司网站存在漏洞至今，世纪佳缘从未获得过漏洞提交人的联系方式并与之取得联系。在警方披露调查结果前，世纪佳缘并不了解网站攻击者与漏洞提交者有何种关联。世纪佳缘报警是出于对用户隐私和公民信息安全的考虑，并不针对任何个人或组织。”

　　白帽子被抓事件无独有偶

　　“这不是第一次有白帽子被抓，之前也有一些白帽子被捕甚至是判刑。”赵武介绍，之前出事的白帽子，很多时候是因为对自己身份的错误认识和冲动。白帽子在平台上提交的漏洞，有的时候企业并不认可，于是会激怒一些冲动的白帽子。“你不认是吧?那等着被攻击吧!”有的白帽子真的利用发现的漏洞进行攻击。这种行为就背离了白帽子行业的初衷，一些白帽子也因此栽了进去。“不过袁炜还不是这样的行为，在我们看来，他的做法就是很正常的白帽子找漏洞、提交漏洞的行为，没有越线。”赵武说。

　　世纪佳缘内部人士向记者透露，他们的安全团队一直在分析漏洞攻击者的行为是否恶意。他们认为，涉及到900多条有效数据被获取，已经完全超过了常规白帽子测试的范围，通常情况下，白帽子只需要获取少量数据甚至不获取数据都能够证明网站的漏洞，在无法百分百确定获取者意图的情况下，为了保护信息安全，公司最终还是决定报警。而在选择报警之前，因为存在来自国内不同地区IP地址的攻击，世纪佳缘并未将漏洞提交者和事发当晚的其他攻击者联系到一起。

　　在赵武看来，袁炜的行为并不难解释。漏洞提交平台会给白帽子提交的漏洞打分，证据越详细、危害越大的漏洞得分越高，这也使得白帽子们习惯于多获取一些数据，而且以往的操作中，白帽子们获取数据的做法并没有遭到来自企业的反对和来自平台的提醒，大家对此也习以为常。

　　赵武认为，企业内部的安全人员是能够分辨出是白帽子还是恶意攻击的，很多在企业内做安全的人本身也是白帽子。但是决定是否报警的是企业的管理层和法务部门，他们不懂技术，这种分歧可能是造成袁炜被抓的原因。

　　愤怒且自危的白帽子们

　　在事件被曝光后，世纪佳缘几乎成为了白帽子们的“公敌”。世纪佳缘内部人士表示，这段时间，世纪佳缘网站遭遇的网络攻击数量确实比平时有所增加，短短几天时间，又有多个世纪佳缘的漏洞在乌云上被公布。被激怒的白帽子们在用自己的方式表达对世纪佳缘的不满。

　　赵武看来，白帽子们的愤怒和“报复”可以理解，但并不值得提倡。以往的经验也证明，白帽子如果采取过激的报复手段，最终结果往往南辕北辙，也可能会招来企业的反报复，对企业和白帽子都不是好的处理方式。

　　愤怒的同时，自身安全也是白帽子们担忧的问题。因为袁炜的做法在白帽子当中是很普遍的，如果这一案件形成了判例，也意味着更多的白帽子都面临风险。

　　不受法律保护的灰色地带

　　在互联网安全领域，非法入侵和窃取数据的是幕后的黑客，而站在的黑客对立面的技术高手通常被尊称为白帽子。“白帽子”为网络安全作出了很大的贡献，而且还是一群自带干粮不图回报的人，只是因为自身对于网络安全的热爱和维护。

　　虽然如此，但他们实际处在一个灰色地带。曾经在补天平台上为白帽子们做过法律培训的北京富润律师事务所黄锦深律师介绍，按法律规定来说，只要是没有获得企业的授权，白帽子自发挖漏洞的行为都是违法的，即便是通过漏洞平台，企业注册了该平台的账号，也不能算作授权。

　　赵武称，“只是现在厂商和白帽子之间形成了一种默契，民不举官不究而已。很多白帽子并不清楚这一点，以为自己的行为是合理合法的。但是企业一旦较真，白帽子的行为是不受法律保护的。”

　　通过袁炜事件，很多白帽子也第一次知道了一个法律的临界点，能在以后发现漏洞后的行为起到一个很好的规范作用。按照我国法律规定，构成非法侵入计算机信息系统罪的认定标准中，有一条是获取身份认证信息500组以上。从这一标准来看，袁炜获取了超过900条有效数据，或许是检方批捕袁炜的主要原因。

　　黄锦深在给白帽子做法律培训时建议，白帽子找漏洞之前，最好先和企业达成协议，获得授权，但现实中这种方式几乎不具备可行性。退而求其次，黄锦深告诫白帽子，为了自我保护，行为一定要保持在企业能接受的范围内，不要越线，比如下载保存对方的数据，甚至破坏对方的数据。

　　虽然白帽子们的行为在法律上并不能站住脚跟，但白帽子们的存在与其自发行为在一定程度上为互联网产品防范黑客的入侵与网络安全。天下没有不透风的墙，也没有绝对安全的网络，任何互联网产品都会存在漏洞。一个企业完全依靠自身的安全力量，显然是不可能做到不断完善，哪怕是微软、苹果这样的公司，也会出现或大或小的安全漏洞。“高手在民间”，通过“白帽子”的众包模式，能够相对有效解决漏洞问题，至少能够极大程度的发现并修复。

　　白帽子行为将有法可依?

　　“这次可能会成为白帽子史上的一个标志性事件。”赵武认为，袁炜事件的最终解决和后续影响，可能左右白帽子这个群体的今后走向，“未来白帽子的生存环境会更好或者更坏都有可能。”

　　赵武表示，以袁炜事件为契机，国内主要的漏洞响应平台应该联合起来，主动和执法部门进行沟通和研究，明确白帽子行为的界限，有一个明确的司法界定，把原来灰色的部分真正变成白色。

　　这样既能让真正的白帽子的工作有了保障，也能预防白帽子“涉黑”。

　　“这是更好的可能性。当然也有更坏的。”赵武说，如果白帽子和企业之间的对抗加深，矛盾加剧，那么从执法部门的角度考虑，很可能就会对白帽子的管理更加严苛，白帽子的活动空间就会被压缩，面临更多个人安全上的威胁。那样对白帽子整体打击会很大。

　　毫无疑问，白帽子是网络安全中不可忽视的一股力量。但首先要做好网络安全的应该是网站自身，无论是大小互联网公司、政府网站和普通的个人网站。毕竟，从来没有绝对的安全，所以每一个网民自己在使用互联网服务的时候也应该有基本的网络安全意识，从自己做起，不使用过于简单的密码。同时，各类专业的互联网安全公司也是网络安全的重要力量，诸如赛门铁克、McAfee、绿盟等国内外网络安全公司也为成千上万的网站。

　　在行业之外，法律法规还需要不断完善。近日，《网络安全法》草案迎来第二次审议。草案二审稿进一步强化国家的责任和公民、组织的义务，加强关键信息基础设施保护，协同推进网络安全与发展，切实维护国家网络主权、安全和发展利益。

相比于一审稿，草案在安全保护的主体、范围、措施等方面均进行了“扩容”。值得注意的，草案二审稿在强调关键信息基础设施保护的同时，大量增加了数据安全保护的内容，并更进一步提出了对个人信息泄露的防护

黑客犯罪案例

邓杰威提供侵入、非法控制计算机信息系统程序、工具一审刑事判决书

https://susong.tianyancha.com/f7d1acd60bdb480abe8745ab32dad929

赵庆生犯提供侵入、非法控制计算机信息系统程序、工具罪一审刑事判决书

https://susong.tianyancha.com/33ce3682a3d84fcea6cd952d6e2287a8

重庆市江北区人民检察院

https://www.12309.gov.cn/12309/gj/cq/cqsjbq/zjxflws/202008/t20200820_8424847.shtml

杜鑫金杜某提供侵入、非法控制计算机信息系统程序、工具一审刑事判决书

https://susong.tianyancha.com/539d2fbc1c4b41c08fa70602ccc63b26

辜鹤、资某等提供侵入、非法控制计算机信息系统程序、工具罪一案的刑事判决书（公司一锅端)