網易SRC指責白帽子私自披露已修復漏洞,強勢表態違刑必究

網路安全法實施第一天,網易安全應急響應中心(NSRC)和一位白帽子爭執了起來。

在今天下班時分,網易SRC發布了一則言辭極為激烈的聲明,指責平台上有白帽子不遵守平台漏洞測試原則,未經授權情況下,擅自公開披露了一例已修復漏洞的細節。

以下為聲明全文:

網易安全應急響應中心一直秉承合作、開放的心態與廣大白帽子切磋交流,也非常感謝每一位支持網易安全建設的安全夥伴。《中華人民共和國網路安全法》於即日起正式實施,我們呼籲每一位白帽子仔細研讀該法律條文,並在進行安全測試時定要遵紀守法,避免在做網路安全檢測時面臨不必要的風險,這樣不僅是對法律的敬重,也是對自身的保護。

近期發現個別白帽子在網易某漏洞測試活動中,違反漏洞測試原則,在未經網易及NSRC授權的情況下,擅自公開披露漏洞細節,讓廣大網易產品用戶置於潛在的風險中,並且其在披露漏洞細節一文以及個人微博中部分所述與事實不符,事後溝通時,其並未積極配合消除影響,給我們後續降低用戶面臨的風險帶來極大的被動和額外的代價。

在此,NSRC對此事進行如下說明:

2017-04-14 15:19 該白帽子報告已提交。

2017-04-14 15:19 該白帽子提交的報告正在審核中。

2017-04-14 17:52 該白帽子提交的報告已確認。

2017-04-14 17:52 該白帽子提交的報告已評分,本次報告獲得10積分,對應貢獻幣400枚。

2017-04-14 18:07 該白帽子提交的報告重新評估後獲得10積分,對應貢獻幣600枚。

2017-04-21 產品團隊推出第一個修復後的更新版本,並於線上測試。

2017-04-22 該白帽子在博客、微博等未經網易授權對漏洞細節進行了披露。

該白帽子在未經網易授權的情況下,擅自公開披露漏洞細節,違反了NSRC平台規則:

《網易安全應急響應中心安全報告處理說明》中 「基本原則」說明:

「未經允許請勿在任何公眾場合或平台討論或披露產品漏洞細節。如有上述行為,網易將有權追究其法律責任。」

同時在《中華人民共和國網路安全法》第三章第二十六條中也有相關法律約束:

「開展網路安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網路攻擊、網路侵入等網路安全信息,應當遵守國家有關規定。」

針對於此種不規範的行為,網易安全應急響應中心決定,撤回該白帽子此漏洞的獎勵,該用戶提交的其他漏洞不受影響。對於情節嚴重者,網易有權追究其法律責任。並且,對於白帽子違反規則進而構成刑事犯罪的行為,網易有法定義務報案、舉報、並配合刑事偵查機關提供相應證據。

為規範漏洞挖掘行為,維護NSRC白帽子和NSRC平台的合法權益,NSRC決定正式施行《網易安全應急響應中心服務條款》,同時我們也呼籲每一位白帽子在進行安全測試前仔細研讀《中華人民共和國網路安全法》法律條文以及NSRC平台《網易安全應急響應中心服務條款》各項條款,明確自己的責任和義務,避免在做網路安全檢測時面臨不必要的風險,以維護自身的合法權益

一直以來,NSRC的白帽子們為網易甚至整個互聯網的安全都做出了卓越的貢獻,我們深知,網易安全建設不光需要安全工程師團隊,更大的助力來自願意支持和幫助我們的NSRC白帽子與廣大網易用戶!這裡,也衷心感謝幾年來一直默默支持我們的白帽子與網易用戶!透過一個個安全漏洞與一次次安全事件,我們深切體會到目前的互聯網安全狀況的嚴峻,而層出不窮的安全問題如何解決,知不易,行更難!

如何幫助產品變得更穩健,如何讓用戶更安心,我們一直在思考,也一直在行動。

在安全的路上,願我們與你易路常相伴~

網易安全應急響應中心

NetEase Security Response Center

另一面,當事白帽子昨天在博客上也描述了事件的大概經過。

一個多月前幫朋友兌換的保溫杯遲遲沒有發貨,我去找他們問其原因,結果被告知領導很重視之前文章(發出後馬上被公關掉的漏洞 [已修復且推出補丁] Paper)的事情,所以所有積分被凍結了。大概 5k 左右,錢倒還好主要鬱悶在積分被凍結並沒有收到通知,不然誰會去兌換呢。

好吧~~ 惹不起惹不起,漏洞賺了,錢不用花,文章也公關掉了,全場最佳。p.s 當時比較有趣的是由於積分商議的結果不是很好,當時就溝通好之後不去報漏洞了,結果萬萬沒想到 xxD

那麼,整個 Timeline 可能是這樣的:

2017-04-14 15:19 您的報告已提交。

2017-04-14 15:19 您提交的報告正在審核中。

2017-04-14 17:52 您提交的報告已確認。

2017-04-14 18:07 您提交的報告已評估。

2017-04-20 15:51 獎勵貢獻幣對應 ¥5000 。

2017-04-21 xx:xx 修復漏洞發布補丁。

2017-04-22 13:00 編輯發出技術細節。

2017-04-22 15:00 收到法務通知,文章被公關。

2017-04-xx ~~ xx 提交其他多個漏洞,兌換保溫杯。

2017-05-28 00:00 詢問長時間不發貨原因。

2017-05-29 11:00 告知積分全部凍結。

據嘶吼了解,兩方爭執的是一個名為「網易雲音樂客戶端遠程命令執行」的高危漏洞。雲音樂客戶端對mp3格式處理不當,攻擊者構造惡意音樂文件,讓用戶打開後即可執行惡意程序,Windows、macOS版本均受影響。

如果事情發生在今天之後,《網路安全法》已經實施,儘管白帽子是在官方修復漏洞後才公布漏洞細節,但修復版本發布時間太短,恐怕有大量用戶沒有更新,尚處於風險中。因此,白帽子可能要承擔起部分責任,特別是因為披露漏洞細節對用戶造成了損失。

而網易在收到漏洞報告評估後,應主動向有關主管單位報告,並且用戶信息可能泄露的情況下再次向用戶和有關主管單位報告。如果沒有報告,也需要接受處罰。

那漏洞是不是不能公布了呢?工信部旗下CNCERT曾和國內相關平台簽署《中國互聯網協會漏洞信息披露和處置自律公約》,漏洞信息披露要遵守「客觀、適時、適度」三原則。適時適度很重要。

法律之外,網易在已經初步控制披露影響的情況下,言辭還如此激烈,其公關能力也是彪悍度爆表。但也需留神,別贏了法理,丟了人心哦。

如若轉載,請註明原文地址: 網易SRC指責白帽子私自披露已修復漏洞,強調違刑必究 - 嘶吼 RoarTalk - 回歸最本質的信息安全,互聯網安全新媒體,4hou.com 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

TAG:信息安全 | 白帽黑客WhiteHat | 网易 |