在GitHub发布某国内公司漏洞,被警察找上门!

Java技术迷

共 2147字,需浏览 5分钟

 ·

2022-07-01 11:22

点击关注公众号,Java干货及时送达

粉丝福利:小编会从今天留言的小伙伴中随机抽赠送8.88元现金红包。娱乐抽奖,大家随缘积极参与啦,给生活一点小幸运~感谢大家的支持


最近,二狗在公司摸鱼的时候发现了这么一则震碎三观的新闻:


《员工向Github提交漏洞被叫到派出所》


这标题算是碰到二狗的G点了,


二狗对某些大公司欺压员工,动不动报警抓人的行为,深恶痛绝。


仔细看了下,事情大概是这个样子。


以下均为二狗通过网络传播的双方回复所脑补:


一位白帽子,挖到了国内某知名安全公司的漏洞,于是报告给了这家公司的“安全响应中心”。


作为一家安全公司,对系统安全那肯定是无比重视。


于是,此公司的员工跟白帽子说,可以支付他两万块钱的奖金,先把漏洞提交上来。



至此,都是一个认领漏洞的正常流程——白帽子付出了努力,公司给予一定报酬,解决漏洞。


但是,在白帽子提交漏洞之后,这家安全公司竟然不认账了。


他们对白帽子说,你提交的这个不算是漏洞,是我们系统的正常功能设定。


既然不是漏洞,那肯定不能给你这两万块钱咯。



被白嫖之后的白帽子非常生气。当然,除了B站UP主,谁被白嫖都会生气。


虽然很生气,但是此白帽也并没有把漏洞卖给黑产赚钱,而是在github提交了此漏洞。


然而,这家安全公司急了,直接选择了报警。



白帽子在完全没有料到的情况下,突然被叫到了辖区分局。


“罪状”是:把该安全公司的漏洞公开到了境外平台。


最后,这位白帽子提交漏洞的github链接还是404了。


你瞅瞅,“境外平台” 这四个字,一听就唬人,不知道的还以为是邪恶的境外势力开发的。


这不就是在利用警察叔叔的“犯罪关键词”目录呢,害人之心昭然若揭。


哎,还有,你之前不是自己都说这是业务正常功能设计吗,为什么在警察叔叔面前又改口称是漏洞了呢,自己打自己脸疼不疼?



就在这时候,二狗原本打算搜索更多相关详情,却意外发现,所谓的该公司回应和当事人的回应只出现在了网易平台上,所有的标题和内容都一模一样。


这就有点尴尬了,显然这件事情的可信度还处于一个存疑状态。

二狗先把网上流传的双方回复放在这里,大家可自行判断。


首先是该白帽子黑客的:



以下是该安全公司回应的:



不过,虽然这件事真假难辨,但是很容易就让人联想到以前发生的某婚恋平台的龌龊事件。


那个时候,乌云网还没有被封禁,广大白帽可以将发现的漏洞提交到乌云平台。相关的厂商会去认领并且修复漏洞。


袁炜,一位乌云网的普通白帽,在2015年12月份的时候,提交了一个某婚恋网站的系统漏洞。



稍后,此婚恋网站确认并且修复了漏洞,并且按照惯例,向漏洞提交者表达了感激之情。


然而,在事发一个多月后,此婚恋网站又以“网站数据被非法盗取”为由报警,逮捕了袁炜。


坊间传闻:此婚恋网站为了得到袁炜的住址等信息,谎称要给他送礼物。


在拿到信息之后,反手就报了警。


此事在白帽群体中引起轩然大波。



厂商出尔反尔,白嫖之后还要送人去坐牢。此等背信弃义的形象,让众多白帽瑟瑟发抖。


在此之前,乌云也曾曝光过携程网泄露公民信用卡信息。还曝光过12306大量乘客信息泄露。这些都极大推进了国内网络安全的历史进程。


而携程和12306也并没有搞出报警抓人的幺蛾子。


真是庙小妖风大,水浅王八多。



在互联网世界,每时每刻都发生着一场场没有硝烟的战争。


黑客们为了自己的利益,像一只只猎狗,在各个网络平台的城墙下嗅探,希望能发现墙上的裂缝,进而获取到有价值的数据。


而白帽子们的动机或多或少都有种理想主义在里面,他们大多时间要么是为了证明自己的实力,要么是为了实现自己心中的正义。


在寻找漏洞方面,白帽和黑帽所做的事情是一致的,但是目的却大不相同。



而在法律方面,较真来说,不管白帽和黑帽都是不合法的。


但是如果用所谓的合法方式来提高网络安全性,效率上会十分缓慢,一个公司不可能养太多的网络安全人员。


而且改进的动力也会很差:修复这个漏洞又不会让我多赚钱,况且漏洞也不一定会被人利用的嘛。


什么保护用户信息?嗨,做的差不多就行了,谁要是敢盗取我的用户信息,我报警啊。


报警多方便,既不会浪费本公司的资源,还有有效的震慑违法犯罪的黑客。



白帽子们更像是蝙蝠侠,在被金钱和罪恶腐蚀的网络哥谭,他们横空出世,不仅阻拦着黑客的入侵,而且也鞭策着网站主们尽快的修复漏洞。


黑客攻击,滴水不漏,基本上是不可能被追溯到,所以即使报警也毫无作用。


白帽子作为正义的一方,每发现一个漏洞就有可能为漏洞主人节省未来大量的弥补经费。


所以很多互联网公司往往不惜高价来吸引白帽。


但就是有些公司,连给白帽的这点钱都要昧掉,事后还要费劲心机地去报警。


报警解决不了黑帽,但是可以解决白帽啊,解决了白帽就不用支付赏金啦。他们的如意算盘打得邦邦响。


某些公司的无耻与龌龊,倒是跟今年发生的:


找枪手写论文,到手之后又反手敲诈商家的卢某某和雷某某,非常般配。


建议直接聘用她们。

  

1、2点睡10点起不算熬夜?
2、被捧上天的Scrum敏捷管理为何不受大厂欢迎了?
3、离大谱!win10/11又爆多个离奇Bug,速看避坑!
4、你为什么不交女朋友,是因为不想吗?!
5、微软欲闭源VS Code的C#扩展惹众怒
6、上能写代码,下要“揍”黑客,还有什么不是程序员的“锅”?

点在看

浏览 77
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报