最近,世紀佳緣的網路伺服器,每天受到的網路攻擊數量上公升到十萬量級別。而之前,其每天受到的網路攻擊只有一兩千次。
世紀佳緣受攻擊次數大幅提公升的背後,與最近一起企業狀告黑客疑似竊取使用者資料不無關係。
事件本身孰是孰非已不重要
這一事件還要從2023年底說起。
根據世紀佳緣ceo吳琳光發布的資訊顯示,2023年12月3日晚上,世紀佳緣負責網路安全的同事發現多個ip位址對**進行sql網路注入攻擊。12月4日,有合作關係的烏雲網,按慣例通知世紀佳緣**存在sql資料庫注入漏洞。世紀佳緣隨後確認並修補了這個漏洞,同時在烏雲網上對白帽子表示致謝。事後統計,這次事件中,攻擊總次數累計達到4000餘次,共有900多條有效資料被攻擊者獲取。出於對使用者資料和資訊保安的擔憂,世紀佳緣選擇了報警。
吳琳光否認了在這一事件中世紀佳緣「釣魚」的說法。吳琳光稱,世紀佳緣報警的初衷是為了對使用者隱私和資訊保安負責,並不針對任何個人或群體。袁煒被批捕後,袁煒的家屬、世紀佳緣及烏雲三方也曾共同坐在一起溝通過此事。吳琳光表示,這個事情已經進入司法公訴程式,世紀佳緣能做的有限,畢竟起訴人不是世紀佳緣,而是檢方。
世紀佳緣袁煒事件形成三大陣營
一大陣營認為,目前絕大多數測試行動都是在沒有得到廠商授權的情況下進行的,因此,以後的所有安全滲透測試,都需要提前得到廠商的授權。但這只是理想狀態,如果廠商不授權,也就意味著白帽黑客的探測,都涉嫌違法犯罪。
另一陣營認為,世紀佳緣的做法屬於「釣魚」,恩將仇報。以後如果再發現相關廠商的漏洞,就不再給其提交,而是轉入黑產,進行拖庫。這種想法明顯是在與相關廠商賭氣,因為如果發現漏洞後進一步獲取更多資料,甚至拖庫、交易資料的行為,已經觸犯刑法285、286條文規定。
在這類事件中,平台方出於自身的利益,可能也較難處理與廠商的關係。平台方弱勢的話對自身不利,強勢的話又像是在利用漏洞進行勒索。
但不管如何,各方在這個過程中,不能違法是底線。江蘇省公安廳網安總隊科長、公安部網路安全專家童瀛就表示,網警在執法過程中,會根據法律規定嚴格執法。白帽黑客也要牢記相關條文中限定的數字,千萬不要跨過這些線。童瀛表示,web安全的入門教程比較多,入門門檻較低,安全問題也較多。從以往相關案件的處理情況來看,執行滲透入侵的當事人會是「主犯」,要負責主要責任,因此,白帽黑客在做測試時一定要自律。在突破屏障後,多數人都是有好奇心的,只要越線,就會受到法律的處罰。
行走在法律邊緣需明確邊界
it與智財權律師,中國網際網路協會信用評價中心法律顧問趙占領表示,從法律角度,國家已經為網路安全行為界定了明確的「邊界」。在從業過程中,需要嚴格按照相關法律法規條文及司法解釋規範自己的行為,在這個「邊界」之內就可以保護自己的權益。
據了解,目前刑法第285條、286條、287條及刑法修正案(9)對網路安全行為有明確的規定,觸犯這些條文會受到法律的嚴懲。2023年8月,最高人民法院、最高人民檢察院針對刑法285、286條專門發布了司法解釋,以達到「嚴懲危害計算機資訊系統安全犯罪,保障網際網路的執行安全與資訊保安」的目的。
2023年6月,《中華人民共和國網路安全法(草案)》發布並公開向社會徵集意見,在網路安全法草案中,對入侵他人網路、干擾他人網路正常功能、竊取網路資料等危害網路安全的活動,以及為這些活動提供支援、幫助等行為都進行了禁止。同時,草案也要求網路運營者要保護使用者資料的安全。
白帽黑客使用檢測工具測試網路安全的過程中,也可能會涉及到軟體自動快取的問題。這種情況下,白帽黑客沒有主觀想獲取資料,但程式自動快取了。從目前的情況來看,相關法律機關可能更傾向於黑客已經獲取了資料。因此,在使用檢測工具前,白帽黑客或安全從業人員要盡可能了解檢測工具的工作原理,測試時要謹慎。
趙占領同時強調,從刑法角度來說,司法解釋明確規定了非法獲取使用者資訊的量刑數量,但白帽黑客絕對不要簡單地認為,只要其獲取的資料低於某個數量,其行為就是安全的,可以不受懲處。比如獲取普通使用者身份認證資訊不到五百組,雖然不用負刑事責任,但根據後果,當事人可能會受治安管理處罰法第29條的規定,受到相應處罰。
廠商對白帽黑客五味雜陳
針對這一事件,安全**「安在」也以研討會的形式進行了討論。諾亞財富安全負責人顧全民認為,之前他們也收到過類似白帽提交的漏洞。這本來也是一件好事,但是後來他們企業的安全人員進到後台發現,這位「白帽」黑客做了兩件事情,但其告訴企業一件事情。這就讓企業與白帽之間很難建立信任關係。
****安全負責人、安全專家龔蔚(goodwell)認為,在整個白帽生態中,企業才是綿羊。龔蔚對白帽生態的發展也提出了相關疑問,如白帽子到底白在**、白帽的衡量標準、行為準則、訴求等。
小公尺雲平台安全與隱私部首席安全官陳洋在烏雲白帽大會上也表示,從廠商角度看,廠商有很重要的職責來保護使用者的資料安全。廠商自身一方面會用各種方法去發現並解決問題,白帽子這麼多年在幫助企業發現很多盲點,提公升了廠商的安全程度。沒有白帽子的支援,企業的安全就會落後很多年。但是,廠商也比較害怕白帽子。白帽黑客一些善意的測試,企業比較歡迎。但有時這些「白帽」的測試,有時會導致資料洩露或破壞。有的黑客甚至有些打著白帽子的旗號,去拖庫、交易這些資料。
陳洋認為,企業與白帽黑客之間應該是共同促進的關係。一方面白帽黑客能幫助廠商提高安全,另一方面廠商也可以與黑客做一些精神、物質方面的合作。但對使用者的資料產生侵犯,就會觸控法律紅線。
不要低估網警的水平
有的黑客認為其在滲透過程中操作很規範,甚至有人使用多重**,認為相關部門很難取證。但中科院軟體研究所研究員、中國電子學會計算機取證專委會主任委員、公安部三局特聘專家丁麗萍則認為,電子取證的水平已經很高,黑客不能低估網警的水平,不要心存僥倖。
據丁麗萍介紹,對於電子證據,業界已經有共識,認為電子證據是下一代的證據並已經獲得認可。符合「三性」(真實性、相關性、合法性)的電子證據能夠獲得法庭的採用。白帽黑客需要了解警察取證的知識,在測試過程中,可以保留一些能夠獲得認可的證據,以便能夠證明自己的清白。
在2023年底各大平台被拖庫事件及**登事件後,網路安全正受到各方的關注。除了使用者的隱私,企業安全外,還有國家層面的網路安全。新興事物的發展要快於法律規範的定製,是乙個普遍現象,世紀佳緣袁煒這一事件,無疑在規範網路安全測試行業及黑客的行為中,將成為乙個里程碑式的事件。
***********************************=分割線******************************==
微軟 Windows新漏洞被俄黑客利用 都怨谷歌
騰訊科技訊 微軟周www.cppcns.com二表示,之前入侵美國民主黨全國委員會電腦系統的俄羅斯黑客,正利用微軟windows作業系統和adobe flash軟體被 的漏洞發動攻擊。這些黑客據說與俄羅斯 有聯絡,現在還不清楚他們是否利用最近 的漏洞侵入民主黨全國委員會的電腦。微軟此前譴責谷歌 微博...
Augur被曝重大漏洞
去中心化 市場平台 augur 被曝發現重大漏洞,黑客可據此向使用者傳送被篡改的網頁並騙取使用者代幣。幸好該漏洞被漏洞眾測平台 hackerone 的研究人員發現,目前 augur 官方已修補了漏洞。這類漏洞被稱為框架劫持 frame jacking 它操縱 html 來控制 augur 客戶端如何...
Joomla漏洞每天受到黑客16600次掃瞄攻擊
據研究人員介紹,他們發現joomla最新的cve 2015 8562漏洞 即joomla的反序列化遠端命令執行漏洞 每天被發動16600次掃瞄攻擊,企圖破壞帶有該漏洞的 由此可見,該漏洞被網路犯罪分子廣泛利用,也給網際網路造成了嚴重的經濟損失。joomla的反序列漏洞,已經在15年的12月14日發布...