標籤:

如何看待《[坑]00後白帽子寫給山東數游網路科技的一封信》 ?

01-08

原文已全部失效,預計將17日晚更新為截圖

原文:https://m.weibo.cn/status/4140024847360075

16日廠家回復(被刪除)https://media.weibo.cn/article?id=2309404141359756913071

15日更新進度

https://m.weibo.cn/status/4141121363737097

16日更新進度

https://m.weibo.cn/status/4141313148251052

我提交了一個可以讓他們公司毀於一旦的漏洞, 可是呢,他們偌大的一個公司用200塊錢打發我

這種情況真的見多了,國內小企業不給錢的都有,我之前在某平台還交過一個可以未授權獲取身份證,郵箱,姓名等資料的洞,結果對面才給了我100。。。之後就決定不在國內挖洞了。。。(黑歷史)

這到底是什麼意思,漏洞修復完善了,就把我晾一邊,沒把我當回事了,這不就是所謂的忘恩負義,沒有良心么。於是當晚,我改變主意了,我說我不要人民幣了,我索要他們旗下的產品,應該不過分吧,可是呢他回絕了。

這種情況很明顯了233,對面就是想賴著不肯給錢。沒事就不要碰未授權的網站,碰了就別光明正大地告訴對面,更彆強行要一波獎金(從200獎金變成9800元的服務)。這位張同學不僅這樣做了,最後還想發文慫人,就難怪別人控訴你。

而且仔細看了一下tl,感覺確實有問題。你是次日十點半和工作人員聯繫的。工作人員還要彙報上級,上級最後要叫工作人員修復。但是這位同學在十二點半左右發了條微博秀漏洞,雖然跟你說漏洞修復完畢了,但是這麼短的時間內,很難說工程師有沒有疏忽導致bypass。更何況你有一堆

就有很多身邊的朋友來找我,問我出售數據以及漏洞嗎? 還有的朋友勸我把數據脫了再提交

的朋友,情況就更難解釋了。

廠商也確實很噁心,不給就不給唄,還千方百計忽悠別人來討個面子。

以後好好學習英語,來 Hackerone,Bugcrowd挖洞吧,這種類型的漏洞肯定是上千刀的,賺到的錢夠你充網遊了。btw,公開也要按照手續來,不然會被廠商拉黑。

全程聊天記錄 鏈接地址 微雲分享

我也是這行出來的 很早以前是米安的學員 後來創業了 雖然幾年沒碰 但是我是具體了解這行的 所以我們的壓根是不會用這兩百塊錢的心思打發白帽子 因為以前我也算是個白帽子

我們客服跟你說話的態度是好好的 你也沒必要把你給我們發的聊天記錄刪了 然後只發你的

微博的文章我也不知道為什麼今天無緣無故被刪了

這個白帽的id在某社區見過,他發的帖子回復個人看來挺浮躁的,不過這個白帽這麼小,浮躁也很正常(畢竟不像其他大佬,我跟他這麼大的時候我還多想刷幾個寬頻鑽呢╭(╯3╰)╮

不管再怎麼浮躁,價值觀不能歪,別動不動就說如果給黑產會多少多少錢,提交才給多少多少,還不如賣給XXX,明顯價值觀扭曲了。

個人感覺大部分SRC都挺良心的,還是好好學習。

補充一下,個人認為廠商沒問題,有興趣的大家看下這位白帽的微博,個人簡介,還是太年輕。沒記錯的話去年愛奇藝那個事也是他。別的不多說了,家長好好管管吧!

以上僅代表個人觀點,不喜勿噴。

謝邀。恕我直言,這鍋企業背不了,這本身就是未授權測試,在這就不貼什麼法律條文了。

首先文中的白帽子為什麼選擇不把漏洞報送給漏洞平台而是直接聯繫廠商呢,恐怕已經想過報送給漏洞平台可能還拿不到兩百所以才去聯繫的廠商以為忽悠個幾千塊美滋滋,但巧了,廠商負責人也是圈內人,也知道漏洞提交該給多少錢,於是不多不少,給了兩百塊。但白帽子沒坑到錢可不樂意了,於是有了那篇以00後和白帽子兩個敏感的關鍵字命名的文章,想著博取同情,用輿論給企業增加壓力。但好像沒想清楚這事自己根本不佔理,自己初中都沒畢業的文筆水平更沒能力把黑的寫成白的。

還有,這白帽子還把漏洞的類型和一些細節截圖公布到空間和微博上,租號網站功能點並不多,有心的人可以直接找到漏洞點爆菊爬數據,但企業追蹤下來這鍋他想不背都不行,因為有證據有動機,都有這兩樣最關鍵的了誰還管到底是不是你,一口咬定是你,你能咋?

想要一個洞幾千塊去挖大廠商的或者去做眾測不好嗎,恐怕是沒那個實力吧,既然沒實力還想拿到相對應的報酬,可能嗎?又蠢又壞。

如果企業沒受到損失趕緊寫封道歉信,這事也就過了,如果受到損失,告你的話,你真的沒辦法。

不好意思,此文中的白帽子該加個引號。

如果我沒記錯的話,這個小朋友上次因為愛奇藝的一個洞就和漏洞盒子撕逼,說人家給他錢給少了,這次這個事其實前幾天在微博上就看到了,只是懶得理,結果今天又在知乎上看見,只想說四個字:

走好不送

剛在微博看完廠商版聊天記錄,收回昨晚說廠商語氣有點low的評論,廠商的溝通的態度挺好了!

~~~~~~~~分割線~~~~~~~~~

從小朋友:

我只是沒經授權而已,我又沒販賣,我還是個孩子,我給他們挖了個這麼嚴重的洞,要點獎勵應該的,獎勵這麼少還拖,我已經很好說話了

從廠商:

我沒報警已經很夠意思了,還給你兩百,你還糾纏不休,現在數據泄露了,不管是不是你,反正你沒得跑

1.廠商普遍對白帽子認可度不高,尤其小公司

廠商和白帽之間的矛盾從袁偉事件之後就徹底激化了。白帽子辛辛苦苦挖洞,不管是為了技術、成就感、名氣或者真的正義,可確實挖到漏洞提供修復方法能幫助廠商提高安全性維護用戶利益,你廠商有獎勵的話就給點兒,沒獎勵表示感謝也挺好;而廠商覺得你竟然敢私自進了我家後院兒,還要證明我產品有缺陷,說不定還到處說!還找我要獎勵??我面子往哪兒擱??各有各的立場,不過從來沒有規定過廠商必須給獎勵,所以小朋友有點強求了。六一剛實行新法,現在這種環境下,小朋友敢主動上門,還發動態,還追著催獎勵。。。什麼叫真正的作死今兒我可算見到了

2.這小朋友也比較奇葩了

未經授權滲透已經違法了,不是而已好嗎。驗證漏洞後發空間下面的評論很多問出售數據不?不管存不存在好友開玩笑的情況,廠商負責人通過訪問空間看到的,在他心裡你的交流圈已經與黑產掛鉤了,你已經擁有出售數據的渠道了。

在廠商同意給出獎勵之後,你對於收到獎勵也太著急了。從第一天第二天上午下午到第三天上午下午一直催促,公司撥款要嚴格走流程的,人家不可能因為錢少就自己掏腰包吧。到第三天晚上改成索要價值9800的產品,不成之後進一步催促並明顯嫌棄獎勵少然後刪好友。這事兒結束的很不友好。而且這對錢的渴望和急切也太明顯了,很難不讓人反感。

你發的文章已經多處提到"出售數據""黑色產業""人肉"的字眼,包括微博說明"世態炎涼,既然不能千古留名,那就遺臭萬年",包括有網友提的你和愛奇藝SRC的事、發帖的語氣等等,總會讓人感覺你的心態算不上一個真正的白帽子,白帽子是絕對忌諱黑產的,而且不會對錢的多少如此執著,最多私下開玩笑抱怨幾句。

出事之後,你也一直強調你未成年。發文的目的可能是真的很無助,但我不知道你強調年齡的意義在哪裡,是說你還小所以不懂事?還是內心本身就覺得未滿16歲而且未經授權這事也沒他們說的那麼嚴重?而且全文都理直氣壯。。。讓我突然想起前段時間微博很火的那啥世界上的熊孩子們

綜上,最後數據泄露,如果是我,我也懷疑你。

3.這廠商做法合理

雖然現在很多廠商對待白帽子沒有合適的態度,但這廠商負責人加上小朋友的第一句就是感謝,並且在被詢問是否有獎勵的時候很乾脆的就答應了語氣也很好,雖然就兩百,但也體現出這廠商對於白帽子是有一定認可度的。在不停的被催促情況下也還是在回復並發送截圖(我猜想文章中沒有說到廠商回復不耐煩的話那應該是真沒有),截止到這兒我對這個廠商印象挺好,加上他們還能自己神速修復漏洞。

但最後數據泄露之後與小朋友的對話就太那啥了。前面說起訴擺法律法條還挺正式的,也完全合法,小朋友也確實需要吃點教訓,但後面的語氣就變成嚇唬小朋友了,還是非想把你說哭那種,這就有點low了

不知道後續如何,起訴完全合法,但起訴後可能引起的後續問題就要考慮清楚了,畢竟。。也有風險。

4.有第三方漏洞收集平台啊。補天獎勵挺高的,還有漏洞盒子啥的,還有各甲方SRC獎勵杠杠的

最後還是希望小朋友多反省自己吧。雖然評論很多人偏於廠商的,但大佬們肯定是不希望你被抓或者怎麼樣,經歷這事兒,你心裡肯定不好受,但千萬別失望別走歪,希望通過這事你能長個教訓多想想自身問題,然後繼續好好學習,做個正義的真正的白帽子

小夥子,你現在應該寫好一封道歉信。

這家公司老闆我認識,可以給你說說話。

繼續裝逼是沒有好下場的。

年輕人,天真。。

下次寫文別說你是幾零後,你在丟這個群體的臉。

下次寫文別說你自己是什麼帽子,你在給這個群體招黑。

更新

-

自己看吧

不請自來,朋友圈看到了。。就過來水一下

首先來說一下關於法律問題

《中華人民共和國刑法》規定:

已滿16周歲的人犯罪,應當負刑事責任,稱完全刑事責任年齡;

已滿14周歲不滿16周歲的人,只有在犯故意殺人、故意傷害致人重傷或者死亡、 強姦、搶劫、販賣毒品、放火、爆炸、投毒罪的,才應當負刑事責任,稱不完全刑事責任年齡;

已滿十四周歲不滿十八周歲的人犯罪,應當從輕或者減輕處罰

這裡講的是不完全,不是豁免,不是豁免

第二百八十五條違反國家規定,侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的,處三年以下有期徒刑或者拘役

(不過好像現在大部分企業對於非授權都是一個民不究官不告的情況啊,悶聲發財就好)

但是如果從法律糾結起來未經授權而非法入侵計算機系統,複製程序或數據文件,是計算機犯罪的一種。所以非授權就是非法入侵。

敲詐勒索罪,是指以非法佔有為目的,對被害人使用威脅或要挾的方法,強行索要公私財物的行為。觸犯本罪,數額較大的,處三年以下有期徒刑、拘役或者管制;數額巨大或者有其他嚴重情節的,處三年以上十年以下有期徒刑。

根據有關解釋,數額較大是指涉案金額1000元至3000元。數額巨大以10000元至30000元為起點。

而這位白帽子,一開始對於200並不滿意,轉而敲詐廠商一個9800的服務

這裡不管廠商是不是給了這個服務,從法律的主觀判定,他就是敲詐勒索。

首先,我們來扯一扯白帽子的行為,

關於,人民幣獎勵。我自己也經歷過的,跟廠商過後廠商給錢,但是這樣的一個流程大概在7天左右,需要財務的審批,所以個人放在的時間是7-15天。。。

白帽子提交漏洞個人認為是第三方最好,本身你是非授權,如果沒有第三方(當初的烏雲,現在的補天,漏洞盒子。或者是CNVD)去從中做一個協調,你本身就是一個被動狀態。

其次,漏洞獎勵這塊,從來都是廠商給你人民幣,給你獎勵,那是出於SRC 安全應急,或者是看你辛苦。並不能作為白帽子攜洞勒索的理由,

更何況,這位57SEC 有點操之過急了,廠商的公對公,活著是公對私的打款是要有流程的

技術上報,領導簽字,報財務,財務領導決定,財務打款。而且還會涉及到繳稅。。額,可能這200不用,,這個周期一半是7-15天。。所以現在很多的SRC用JD卡去獎勵,也是因為,不用繳稅啊。

而白帽子比較心急啊,第三天沒有見到錢就直接開始噴,然後轉而去需求一個9800的項目,這個,,,從主觀判讀上,,會讓人帶入到白帽子勒索的行為當中。

而你白帽子現在又說談及販賣數據的問題,更讓人主觀帶入,你這個白帽子,混黑產。拿著白帽子的名字,干著黑帽子的事情(好像上次愛奇藝的事情也是他搞出來的吧)

下面糾結一下廠商

說實話我這次立場還是傾向於廠商方面的。

首先廠商的溝通很好,簡直沒有毛病啊,你非授權跟你客客氣氣的(雖然有點不上心)簡直國寶好不好,對於錢,廠商的微博好像也有解釋吧。。

這位57SEC,敢把全部的截圖不刪的放出來???

兄弟 且行且珍惜,你以為有未成年保護法保護,其實 嘖嘖

還有,跟我私下噴的某些人。你腦子燒糊塗了?

文章開頭點明00後,然後除了委屈。就是滿篇的委屈。完全的只有一種大公司欺負00後的直視感。斷章取義。把自己營造成一個弱勢群體(愛奇藝那次比誰都歡,qtmd)沒有任何法律可言。

我已經等著噴子噴了

官方網址打不開了。就刪了

首先這種網站也不是國內知名企業,應該也就是一群年輕人搞的,性質可能就跟某刀娛樂,某基友一樣,想索要錢估計是不可能的,那個小00後有本事脫了52或者看雪的褲子,估摸著也不是現在這個樣子。

年輕人嘛,總愛裝逼是正常的 ,擔心別被打臉就行

本來還想說小孩子不懂事的,教育下就行了。但是直到看到了聊天記錄,我覺得這孩子三觀不正。

這是一個雙面諷刺的故事,在此之前wooyun的一隻x帽子在未授權的情況下已經被抓,只要是未授權就應該付出代價,不管你的出發點是如何。竟然還恬不知恥的索要「獎金」未果後發出來,Incredible!這家公司的經理也是一個弱智,在已知漏洞的情況下,不與x帽子第一時間取得聯繫獲得細節,而是默默的修復也是極品,難道不應該先站在用戶角度考慮數據泄露程度以及對用戶會造成的損失嗎?為用戶祈禱,願國內沒有垃圾遊戲!竟然也還恬不知恥的讓其繼續挖掘漏洞。祝你們幸福!

不用給這孩子洗白了。看這幾張圖就明白,這人就是奔著錢去的!前兩張是企業聊天記錄截圖,最後是他微博前一段時間發的,到現在都沒有刪。

這件事情很簡單的折射出國內網路安全法律的殘缺,沒有法律去保護和約束白帽子。

如:當白帽子發現漏洞,並獲取不足1%的有效用戶數據(且不超過50條),則無責任。

如企業無法得知白帽子獲取用戶數據數量,則企業全責。

發現漏洞,提交企業,企業必須重視。

不要黑什麼00後 白帽子了。 什麼事物都是存在漏洞的,只要你有善於發現的頭腦,你就會發現很多神奇的事情。

我兒子10後,一樣可以發現程序的bug。 行業內稱為 FUZZ

好了,就醬。。 希望國家安全機構會重視一下,趕緊對白帽子進行保護。

否則,當白帽子「死光」,一旦爆發網路戰,後果將不堪設想。

恕我直言,咱們00後的face都被這位仁兄丟光了。

搞非授權的測試,還不交給SRC選擇自己去找廠商,就不要指望去搞錢。

發現一個洞,瞬間就幾千美刀,sorry這是Google,Facebook,Pornhub(好像混入了什麼不得了的東西)乾的事,小企業的話沒有一來就威脅要找警察叔叔就算好的了。

實際上,別人完全有權利一百塊都不給你的。如果一定要拿高價,別人就可以說你勒索。

就像撿到錢包一樣,你交給失主,失主可能會感謝你獎勵你一筆錢,但是你伸手去要的話可能失主就會很angry。

選擇提交漏洞不接觸黑產是好的,但請不要把漏洞先公布,空間都不可以,這是職業道德!

你公布了,別人完全有理由上法庭坑你一把。

你空間上的朋友都在說賣數據的事情,我很懷疑你的朋友們有可能拿你的描述去拖數據了(都說是越權了估計範圍小到十分鐘就能找出來的地步吧),建議你先問問你的朋友們有沒有這麼做,不然廠商甩鍋給你你不得不接

我聯繫廠商的時候,完全把這種事情當成一個比較有趣的公益活動。要記著,小的廠商可能根本就不懂安全,他們也沒有搞什麼安全方面的預算,讓他們拿錢獎勵他們是不大可能會接受的

--------------------------------------------順便給大家看一下我之前是怎麼通知廠商的-----------------------

(大牛勿社,拜託了)

就不提錢的事兒吧,挖到漏洞請不要滿世界宣傳請不要主動聯繫廠商,就算你給SRC或者什麼的,錢少一點或者只拿個rank,也不要去找廠商趟渾水。反正就是不要讓它知道你是誰就是了,不然他去報警,就算最後沒你啥事兒,你得去做個筆錄說不定還早拘留幹啥幹啥的,再說碰不碰數據這個事兒?你自己心裡有數,但是廠商指鹿為馬你咋整?別和我說什麼監控設備審計設備可以作證,不就是一個rm -rf嘛……反正你聯繫了廠商,反而你成了劣勢。

再說錢這種事,私以為不會從小廠商身上薅到多少毛的,之前也挖到一個小廠的布爾盲注,廠商是做支付的,你可以腦補一下可能會有什麼數據,最後留給了一個口頭致謝和5個rank,還給改了中危(理由是: 獲取速度慢,只能盲注一位一位獲取- 我日還有這種理由,你們銀行憑證和私鑰都快被人端了)。錢?一分沒有啊,還不如寫個科普文來的快

反正我現在已經是一個光榮的研發了,我也自己知道不是挖洞的那塊兒料

說白了還是那句話,暑假作業太少!

對此只想說一句話:「白帽子」這個詞就是被這樣的人侮辱變髒的

原來覺得黑客是個很高端的詞,後來覺得很low.

再後來覺得白帽子是個很高端的詞,現在覺得,還是很low..

這種三觀,怕不是研究的網路危險吧,哪兒來的網路安全...

廠商是我多年前認識到現在的好友,從沒創業到現在有這家企業。以前也算是半個圈內人,之所以到現在還不打算懟你是因為他怕冷了白帽子的心,就在傍晚的時候還在問我他們有沒有做錯。

我回復說沒有。

按照目前圈內人的反饋,不懟你還真的對不起你污了白帽子的名。

怕基友玩知乎...看到我拿他的話說事(逃

這個小孩的黑歷史先不談,就事論事。

1.這小孩黑了00後群體,又黑了白帽子群體

2.未授權測試

3.挖了漏洞先發QQ空間裝逼,還指出具體廠商名稱和具體漏洞

4.證明漏洞點到為止即可,但是他還脫數據

5.從他微博可以知道他是8.7號夜裡接近第二天凌晨挖到這個洞的,然後8.8號就發個微博【數游租號系統,子站點越權漏洞,12w遊戲帳號信息泄漏,什麼QQ飛車,穿越火線,王者榮耀......,我就看看他們拿多少錢打發我。 】,想勒索錢的心思不言而喻

6.他發的截圖什麼竟然還刪除自己的聊天回復

7.這種小公司的洞,提交到盒子補天什麼的說不定金幣都不會給,而他索要完錢嫌慢竟然還微博艾特大V想藉助輿論搞事

8.想賺錢就去挖SRC參加眾測

總結就是一個三觀不正技術不精混娛樂圈可能還挨點黑產的懂得仗著小畜生保護法的小屁孩。

-------

廠商版的聊天截圖一張:

-------

以前在烏雲也總見到這種奇葩,還不少。比如發現某某廠商sql注入,然後你會發現他會先脫褲然後截圖數據證明危害再找廠商要禮物。

推薦閱讀:

你對阿里雲10月11號下午出現 IO hang有什麼看法?
XcodeGhost 事件中,迅雷的污染事件是怎麼做到的?
黑客為什麼可以做到無需知道源碼的情況下找出系統漏洞?
學習網路安全時遇到瓶頸了該怎麼辦?
網路安全工作中,你干過哪些引以為傲的「猥瑣」行為?

TAG:網路安全 | 黑客Hacker | 熊孩子 | 作死 |