关于"白帽社区平台乌云网多名高管被捕"一事,据了解到,乌云网近十多名团队成员被警方带走,其中也包括乌云网创始人方小顿。目前,各方尚不清楚乌云网因何出事。
2019年12月4日,"正面黑客"袁炜向乌云平台提交世纪佳缘网的漏洞报告,乌云平台将该漏洞告知并得到了修复。随后,世纪佳缘确认并修复了该漏洞,并致谢乌云网及袁某。
今年1月,世纪佳缘网针对4000余条实名注册信息被窃取一事报案,结果被抓的人却是袁炜;4月12日,北京市朝阳区人民检察院已正式批准逮捕袁炜。目前案件处于审查阶段,未有结论。
7月8日-9日,方小顿在2019年乌云白帽大会上公开露面。当时,他与中科院软件研究所研究员丁丽萍、公安部网络安全专家童瀛等业内知名人士一起探讨系统漏洞披露模式的边界问题。与会人士介绍,当天的方小顿看不出有何异样,情绪也很稳定。
7月18日方小顿的微信朋友圈停止更新,且在最后一条朋友圈里称,"比天赋更重要的是变强起来的勇气,希望回来能有更好的自己。"当时的他还在朋友圈里推荐乌云的一款产品"唐朝安全巡航",并配上大笑的表情。
7月19日,乌云网已经无法登陆。
7月20日凌晨,乌云发布了一则升级公告,称为了更好地向用户提供服务,乌云及相关服务将进行升级。在这则公告里,乌云还称,"我们将在最短的时间内,以最好的姿态回归。"但直至7月28日,乌云仍处宕机状态。
事出原因不明引猜测
乌云网出事消息传出后,白帽们及互联网圈内人士纷纷猜测其出事原因。大体有三种说法:
一、杭州IT人士袁炜在乌云平台提交了世纪佳缘网站系统漏洞,世纪佳缘按照惯例修复漏洞并致谢乌云网之后,突然以"网站数据被非法窃取"为由报警。之后北京朝阳区人民检察院于2019年4月批捕袁炜。检方已决定对袁炜提起公诉,乌云可能受到牵连。
二、乌云平台上的白帽测试了相关政府部门的网络系统,乌云受到牵连。
三、7月全国多名艾滋病患者信息被泄漏,乌云因在平台上公布过中疾控疫情网存在系统漏洞受调查。
中国互联网协会信用评价中心法律顾问赵占领分析,乌云网受世纪佳缘事件影响的可能性不太大。按照相关法律,技术人士利用漏洞机会实施犯罪行为,比如获取 数据、破坏系统等。这些行为本身不是在平台上发生的,而是发生在平台之外的行为。平台做的只是将漏洞通过图片、文字等形式公布出来,平台的行为也可能是法 律问题,但不是犯罪问题。
"平台涉及的法律问题可能包括白帽发布漏洞不实或不准确,平台因对漏洞信息负有审核责任,造成共同侵权。"赵占领认为。
赵占领认为,涉及白帽的犯罪行为主要有三种:
一、非法侵入计算机系统罪,但该犯罪行为指的是被入侵对象必须是国家事务或国防系统。一般情况下,如果不是政府网站的话,白帽一般不会涉及;
二、非法获取计算机信息数据罪,这个罪名成立需要有三个条件:必须要有入侵或者通过其他方法获取数据,而且情节严重。"情节严重"包括金融机构的金融身份认证信息达到十组以上,其他的身份认证信息达到500组以上,或者是非法控制计算机系统等具体条件;
三、操纵和破坏计算机信息系统罪,包括控增加、删除、修改、干扰计算机系统,或者是对数据有相应的删除行为,甚至倒卖数据等。
一位熟悉乌云运作模式的人士称,从商业盈利的角度,乌云现在也会接受商业公司的委托进行安全测试,譬如乌云的一些产品唐朝安全巡航、安全众测等。但这与白帽主动在乌云平台报告漏洞是完全分开的。
白帽在未经公司允许的情况下是否能主动去测试其系统安全?按照相关法律,测试系统漏洞的行为不违法,就像你去敲敲门发现别人的门没锁立刻告诉别人,是善意提醒。但是,如果发现别人门没锁,进去别人家里则另当别论。
2019年12月4日,"正面黑客"袁炜向乌云平台提交世纪佳缘网的漏洞报告,乌云平台将该漏洞告知并得到了修复。随后,世纪佳缘确认并修复了该漏洞,并致谢乌云网及袁某。
今年1月,世纪佳缘网针对4000余条实名注册信息被窃取一事报案,结果被抓的人却是袁炜;4月12日,北京市朝阳区人民检察院已正式批准逮捕袁炜。目前案件处于审查阶段,未有结论。
7月8日-9日,方小顿在2019年乌云白帽大会上公开露面。当时,他与中科院软件研究所研究员丁丽萍、公安部网络安全专家童瀛等业内知名人士一起探讨系统漏洞披露模式的边界问题。与会人士介绍,当天的方小顿看不出有何异样,情绪也很稳定。
7月18日方小顿的微信朋友圈停止更新,且在最后一条朋友圈里称,"比天赋更重要的是变强起来的勇气,希望回来能有更好的自己。"当时的他还在朋友圈里推荐乌云的一款产品"唐朝安全巡航",并配上大笑的表情。
7月19日,乌云网已经无法登陆。
7月20日凌晨,乌云发布了一则升级公告,称为了更好地向用户提供服务,乌云及相关服务将进行升级。在这则公告里,乌云还称,"我们将在最短的时间内,以最好的姿态回归。"但直至7月28日,乌云仍处宕机状态。
事出原因不明引猜测
乌云网出事消息传出后,白帽们及互联网圈内人士纷纷猜测其出事原因。大体有三种说法:
一、杭州IT人士袁炜在乌云平台提交了世纪佳缘网站系统漏洞,世纪佳缘按照惯例修复漏洞并致谢乌云网之后,突然以"网站数据被非法窃取"为由报警。之后北京朝阳区人民检察院于2019年4月批捕袁炜。检方已决定对袁炜提起公诉,乌云可能受到牵连。
二、乌云平台上的白帽测试了相关政府部门的网络系统,乌云受到牵连。
三、7月全国多名艾滋病患者信息被泄漏,乌云因在平台上公布过中疾控疫情网存在系统漏洞受调查。
中国互联网协会信用评价中心法律顾问赵占领分析,乌云网受世纪佳缘事件影响的可能性不太大。按照相关法律,技术人士利用漏洞机会实施犯罪行为,比如获取 数据、破坏系统等。这些行为本身不是在平台上发生的,而是发生在平台之外的行为。平台做的只是将漏洞通过图片、文字等形式公布出来,平台的行为也可能是法 律问题,但不是犯罪问题。
"平台涉及的法律问题可能包括白帽发布漏洞不实或不准确,平台因对漏洞信息负有审核责任,造成共同侵权。"赵占领认为。
赵占领认为,涉及白帽的犯罪行为主要有三种:
一、非法侵入计算机系统罪,但该犯罪行为指的是被入侵对象必须是国家事务或国防系统。一般情况下,如果不是政府网站的话,白帽一般不会涉及;
二、非法获取计算机信息数据罪,这个罪名成立需要有三个条件:必须要有入侵或者通过其他方法获取数据,而且情节严重。"情节严重"包括金融机构的金融身份认证信息达到十组以上,其他的身份认证信息达到500组以上,或者是非法控制计算机系统等具体条件;
三、操纵和破坏计算机信息系统罪,包括控增加、删除、修改、干扰计算机系统,或者是对数据有相应的删除行为,甚至倒卖数据等。
一位熟悉乌云运作模式的人士称,从商业盈利的角度,乌云现在也会接受商业公司的委托进行安全测试,譬如乌云的一些产品唐朝安全巡航、安全众测等。但这与白帽主动在乌云平台报告漏洞是完全分开的。
白帽在未经公司允许的情况下是否能主动去测试其系统安全?按照相关法律,测试系统漏洞的行为不违法,就像你去敲敲门发现别人的门没锁立刻告诉别人,是善意提醒。但是,如果发现别人门没锁,进去别人家里则另当别论。
说说我的看法高级模式
