汪文濤

袁煒的行為并不難解釋?zhuān)┒刺峤黄脚_(tái)會(huì)給白帽子提交的漏洞打分，證據(jù)越詳細(xì)、危害越大的漏洞得分越高，這也使得白帽子們習(xí)慣于多獲取一些數(shù)據(jù)

“

袁煒檢測(cè)出世紀(jì)佳緣的漏洞讓對(duì)方修復(fù)，世紀(jì)佳緣卻報(bào)警抓了袁煒。從3月8日被抓進(jìn)去至今已有半年，我們家人到今天還弄不清楚，袁煒到底犯了什么罪？‘白帽子檢測(cè)漏洞是犯罪嗎？”9月17日，雙鬢斑白的袁冠陽(yáng)在接受記者采訪(fǎng)時(shí)連連嘆息。

今年64歲的袁冠陽(yáng)年事已高，原本對(duì)互聯(lián)網(wǎng)一竅不通，但為了給兒子袁煒“鳴冤”，他多方請(qǐng)教專(zhuān)家，四處奔走呼號(hào)。不久前，在北京召開(kāi)的第四屆網(wǎng)絡(luò)安全大會(huì)上，袁冠陽(yáng)不期而至，到現(xiàn)場(chǎng)發(fā)出了多封公開(kāi)信，讓袁煒的遭遇在互聯(lián)網(wǎng)圈瞬間引起軒然大波，并引發(fā)了網(wǎng)絡(luò)安全行業(yè)人士的熱議與討論。

袁冠陽(yáng)在公開(kāi)信中稱(chēng)，袁煒是互聯(lián)網(wǎng)漏洞報(bào)告平臺(tái)——“烏云網(wǎng)”上的一名“白帽子”，2015年12月，袁煒檢測(cè)發(fā)現(xiàn)了婚戀交友網(wǎng)站——“世紀(jì)佳緣”的系統(tǒng)漏洞，并在烏云網(wǎng)上提交了系統(tǒng)漏洞。世紀(jì)佳緣先是確認(rèn)、修復(fù)了漏洞，并向?yàn)踉凭W(wǎng)和袁煒致謝。但事情轉(zhuǎn)折發(fā)生在世紀(jì)佳緣以“網(wǎng)站數(shù)據(jù)被非法竊取”報(bào)警之后，警方經(jīng)調(diào)查拘留了袁煒。

業(yè)內(nèi)人士介紹，所謂“白帽子”，是指識(shí)別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中安全漏洞的網(wǎng)絡(luò)安全技術(shù)人員，與網(wǎng)絡(luò)黑客不同的是，他們只是檢測(cè)漏洞，并不惡意去利用漏洞，“白帽子”通過(guò)向相關(guān)平臺(tái)或者廠家反饋、發(fā)布漏洞，以敦促?gòu)S家在漏洞被“黑客”攻擊利用之前將其修復(fù)完善，維護(hù)計(jì)算機(jī)和互聯(lián)網(wǎng)安全。

“白帽子”袁煒檢測(cè)并提交了世紀(jì)佳緣的漏洞；而世紀(jì)佳緣出于保護(hù)用戶(hù)隱私安全考慮，報(bào)警抓人。其中的孰是孰非，目前司法尚無(wú)定論，但多位網(wǎng)絡(luò)安全業(yè)內(nèi)人士和法律專(zhuān)家在接受記者采訪(fǎng)時(shí)均認(rèn)為，袁煒事件或?qū)⒊蔀榛ヂ?lián)網(wǎng)安全史上一個(gè)標(biāo)志性的“分水嶺”。

剛成為實(shí)習(xí)白帽子

“袁煒大學(xué)里學(xué)的是計(jì)算機(jī)專(zhuān)業(yè)，他是一個(gè)典型的理工男，一臉的書(shū)生氣，看上去可能有些內(nèi)向，但他為人憨厚、真誠(chéng)，沒(méi)有什么花花架子?！痹瑹樒拮哟拷邮苡浾卟稍L(fǎng)時(shí)表示。

據(jù)代女士介紹，袁煒不抽煙也不喝酒，平時(shí)愛(ài)好踢足球、看球賽、玩魔獸世界，每天規(guī)規(guī)矩矩地上下班。

由于工作的需要，袁煒參加了前幾屆互聯(lián)網(wǎng)安全大會(huì)，開(kāi)始涉足網(wǎng)絡(luò)安全行業(yè)，夢(mèng)想成為網(wǎng)絡(luò)安全圈的專(zhuān)業(yè)“大咖”?！盀榇?，他買(mǎi)了一堆堆計(jì)算機(jī)網(wǎng)絡(luò)方面的書(shū)籍，每天下班后的時(shí)間，除了跟2歲的女兒玩一會(huì)，就是看書(shū)學(xué)習(xí)”。

“一直到今年3月8日，那天早上，我們是一塊出的門(mén)；中午的時(shí)候，袁煒的同事突然來(lái)電話(huà)，說(shuō)北京來(lái)了幾個(gè)公安人員以協(xié)助調(diào)查的名義，把袁煒連人帶電腦都帶走了?！贝炕貞?，事情來(lái)得很突然，當(dāng)時(shí)都沒(méi)明白是什么情況，后來(lái)打聽(tīng)，才發(fā)現(xiàn)是世紀(jì)佳緣網(wǎng)漏洞事件。

袁煒涉案后，代女士和委托律師開(kāi)始多方了解情況、搜集證據(jù)，想努力搞清楚袁煒事件的前后脈絡(luò)?！拔矣浀萌ツ昴甑?，袁煒有和我提到，他提交過(guò)世紀(jì)佳緣的漏洞，后來(lái)世紀(jì)佳緣還通過(guò)烏云網(wǎng)聯(lián)系他說(shuō)表示感謝，不知為何后來(lái)突然被公安機(jī)關(guān)抓走了?！贝肯蛴浾叱鍪玖藘煞輹?shū)面復(fù)印件，一份為杭州某家電有限公司的“證明”；另一份系烏云網(wǎng)的“情況說(shuō)明”。

“證明”里提到，袁煒自2009年10月起在該家電公司擔(dān)任“信息安全運(yùn)維主管”職務(wù)，工作期間“行為端正、品行優(yōu)良”，2014年榮獲公司優(yōu)秀服務(wù)支持獎(jiǎng)；2015年表現(xiàn)突出，綜合績(jī)效評(píng)估為A。

“情況說(shuō)明”里則介紹：北京北冥魚(yú)信息技術(shù)有限公司依法經(jīng)營(yíng)的網(wǎng)站烏云網(wǎng)，是一個(gè)位于廠商和安全研究者之間的安全問(wèn)題反饋平臺(tái)。目前，已經(jīng)與國(guó)家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心CNCERT等部門(mén)展開(kāi)了合作。

“情況說(shuō)明”還介紹說(shuō)，“袁煒系在烏云網(wǎng)注冊(cè)的白帽子會(huì)員，會(huì)員名稱(chēng)：ledoo。其自從在本網(wǎng)站注冊(cè)以來(lái)，無(wú)任何違法違規(guī)行為”；“世紀(jì)佳緣于2012年1月21日作為廠商入駐烏云平臺(tái)，允許烏云平臺(tái)注冊(cè)的白帽子檢測(cè)世紀(jì)佳緣的漏洞”。

“情況說(shuō)明”還在文中末尾提到，“2015年12月4日，袁煒發(fā)現(xiàn)世紀(jì)佳緣網(wǎng)存在重大安全漏洞，及時(shí)通過(guò)方式實(shí)名提交相關(guān)漏洞，我網(wǎng)站在獲悉相關(guān)信息后按照規(guī)定提交給世紀(jì)佳緣網(wǎng)。隨后，世紀(jì)佳緣對(duì)相關(guān)漏洞予以確認(rèn)并進(jìn)行修補(bǔ)，并與2015年12月7日向?yàn)踉破脚_(tái)發(fā)來(lái)感謝，對(duì)袁煒的重大發(fā)現(xiàn)和貢獻(xiàn)表示感謝。在此過(guò)程中，袁煒并無(wú)惡意，也未索取任何利益”。

袁煒家人向記者提供了經(jīng)過(guò)公證的相關(guān)證據(jù)材料，該材料顯示，袁煒是于2015年10月19日在烏云網(wǎng)注冊(cè)，成為了一名實(shí)習(xí)白帽子，用戶(hù)名是ledoo；而世紀(jì)佳緣網(wǎng)站早在2012年1月21日就注冊(cè)成為了烏云網(wǎng)的企業(yè)用戶(hù)。

相關(guān)網(wǎng)頁(yè)材料還顯示出，作為烏云網(wǎng)的實(shí)習(xí)白帽子，袁煒共向?yàn)踉凭W(wǎng)提交了包括世紀(jì)佳緣在內(nèi)的11個(gè)不同網(wǎng)站的漏洞，其中8個(gè)得到驗(yàn)證并被修復(fù)；同時(shí)，包括袁煒在內(nèi)，在烏云網(wǎng)的注冊(cè)白帽子們先后向世紀(jì)佳緣提交了42個(gè)漏洞信息，世紀(jì)佳緣核實(shí)確認(rèn)后修復(fù)了相關(guān)漏洞，并向?yàn)踉凭W(wǎng)的多名白帽子請(qǐng)求發(fā)送小禮物以表感謝。

各執(zhí)一詞：測(cè)試漏洞還是非法攻擊

按照家屬的說(shuō)法，袁煒是于2015年12月3日下午4時(shí)，在公司使用SQLmap軟件（以下簡(jiǎn)稱(chēng)SQL軟件）對(duì)世紀(jì)佳緣的網(wǎng)站進(jìn)行漏洞檢測(cè)，發(fā)現(xiàn)世紀(jì)佳緣網(wǎng)存在漏洞。由于袁煒只是實(shí)習(xí)白帽子，擔(dān)心自己的技術(shù)不過(guò)關(guān)導(dǎo)致誤報(bào)，為了確認(rèn)漏洞，袁煒下班后回到家中使用同一筆記本電腦和SQL軟件繼續(xù)對(duì)世紀(jì)佳緣網(wǎng)站的服務(wù)器進(jìn)行漏洞檢測(cè)。

代女士稱(chēng)，袁煒通過(guò)SQL軟件注入成功瀏覽了存儲(chǔ)在世紀(jì)佳緣服務(wù)器中的部分?jǐn)?shù)據(jù)，確認(rèn)了世紀(jì)佳緣網(wǎng)站的服務(wù)器確實(shí)存在漏洞，第二天（12月4日）早上6點(diǎn)多，袁煒又確認(rèn)了一遍漏洞的存在。在整個(gè)漏洞檢測(cè)過(guò)程中，袁煒除使用了SQL軟件以外，沒(méi)有主動(dòng)下載、存儲(chǔ)任何世紀(jì)佳緣服務(wù)器的數(shù)據(jù)。上班后，袁煒使用其在烏云的名為ledoo的注冊(cè)賬號(hào)，向?yàn)踉凭W(wǎng)提交了世紀(jì)佳緣網(wǎng)站的漏洞，當(dāng)日烏云網(wǎng)通知了世紀(jì)佳緣網(wǎng)站。

2015年12月7日下午，世紀(jì)佳緣確認(rèn)并修復(fù)了漏洞，并致謝烏云網(wǎng)及袁煒。僅僅一個(gè)月后，出人意料的是，2016年1月18日，世紀(jì)佳緣網(wǎng)的運(yùn)營(yíng)主體花千樹(shù)公司向北京市公安局朝陽(yáng)分局報(bào)案稱(chēng)：2015年12月3日22時(shí)許，花千樹(shù)公司運(yùn)營(yíng)的世紀(jì)佳緣網(wǎng)站受到11個(gè)IP的SQL注入攻擊，持續(xù)時(shí)間8小時(shí)40分，有4000余條實(shí)名注冊(cè)信息被不法分子竊取。

2016年3月8日，袁煒被北京市公安局朝陽(yáng)分局以涉嫌“非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪”，被刑事拘留。4月12日，經(jīng)北京市朝陽(yáng)區(qū)檢察院批準(zhǔn)，袁煒因涉嫌“非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪”，被批準(zhǔn)逮捕。

袁煒案發(fā)后，各路輿情在網(wǎng)上開(kāi)始發(fā)酵，但世紀(jì)佳緣卻一直沒(méi)有官方回應(yīng)。直到6月29日，世紀(jì)佳緣CEO（首席執(zhí)行官）吳琳光在知乎網(wǎng)社區(qū)上發(fā)文談?wù)摯耸?，但吳琳光也表示，因案件尚在司法調(diào)查期間，文章內(nèi)容僅代表個(gè)人觀點(diǎn)。

吳琳光稱(chēng)，2015年12月3日晚，公司安全人員發(fā)現(xiàn)有多個(gè)IP地址對(duì)其網(wǎng)站進(jìn)行SQL注入攻擊。隨后，安全人員通過(guò)技術(shù)手段阻斷了部分攻擊。次日，烏云網(wǎng)通知世紀(jì)佳緣其網(wǎng)站存在漏洞。該輪攻擊持續(xù)到12月4日晚上，直至安全人員將其完全修復(fù)。事后，世紀(jì)佳緣方面統(tǒng)計(jì)發(fā)現(xiàn)，攻擊總次數(shù)累計(jì)4000余次，共有900多條有效數(shù)據(jù)被攻擊者獲取。“出于對(duì)用戶(hù)數(shù)據(jù)和信息安全的擔(dān)憂(yōu)，我們還是選擇了報(bào)警?！眳橇展夥Q(chēng)。

對(duì)于部分網(wǎng)友質(zhì)疑“世紀(jì)佳緣”網(wǎng)站“釣魚(yú)執(zhí)法”一說(shuō)，吳琳光進(jìn)行了否認(rèn)，他表示，在警方披露調(diào)查結(jié)果前，世紀(jì)佳緣并不知道提交漏洞的白帽子和攻擊者是否同一人，“報(bào)警不針對(duì)任何個(gè)人或群體，公司也沒(méi)有聯(lián)系過(guò)袁某”。吳琳光還在個(gè)人回應(yīng)中提到，袁某在檢測(cè)漏洞時(shí)使用的SQLmap是網(wǎng)絡(luò)黑客工具。

“SQL軟件并非袁煒開(kāi)發(fā)的軟件，也并非是專(zhuān)用的黑客工具，它就是一款電腦技術(shù)人員常用的工作軟件，這個(gè)軟件不是區(qū)分白帽子與黑客的標(biāo)準(zhǔn)。”代女士告訴記者。

“SQLmap是安全圈內(nèi)常用的工具之一，這個(gè)軟件自帶緩存功能，會(huì)自動(dòng)將測(cè)試信息存儲(chǔ)到本地的一個(gè)隱藏文件夾，一直以來(lái)網(wǎng)絡(luò)安全圈內(nèi)并沒(méi)有對(duì)安全工具和黑客工具加以區(qū)分?！比?nèi)一人士告訴記者，白帽子檢測(cè)漏洞和黑客入侵從技術(shù)方法上看也許沒(méi)有區(qū)別，也許都會(huì)使用到SQL軟件；從技術(shù)上考量，對(duì)被訪(fǎng)問(wèn)的網(wǎng)站而言，白帽子檢測(cè)漏洞實(shí)質(zhì)上也是一種“注入攻擊”行為。

引發(fā)爭(zhēng)議的932條數(shù)據(jù)信息

據(jù)了解，為了獲取“被攻擊”的證據(jù)，世紀(jì)佳緣委托了一家司法鑒定所對(duì)其服務(wù)器日志進(jìn)行鑒定，鑒定意見(jiàn)顯示，世紀(jì)佳緣網(wǎng)在2015年12月3日17時(shí)許至2015年12月4日10時(shí)許，陸續(xù)受到“124.160.67.131”等11個(gè)IP地址以SQL注入為手段的訪(fǎng)問(wèn)請(qǐng)求，注入請(qǐng)求為4400余次。SQL注入成功后，入侵者對(duì)網(wǎng)站數(shù)據(jù)庫(kù)進(jìn)行了讀取操作，涉及讀取操作的數(shù)據(jù)庫(kù)數(shù)據(jù)信息為932條。

“這份鑒定意見(jiàn)是世紀(jì)佳緣自行委托某鑒定機(jī)構(gòu)做的，并非司法機(jī)關(guān)指定的專(zhuān)門(mén)鑒定機(jī)構(gòu)；而且在鑒定報(bào)告中，并沒(méi)有確認(rèn)到底哪些IP是袁煒操作的，也沒(méi)有詳細(xì)說(shuō)明袁煒的這些IP具體讀取了多少組有效的身份認(rèn)證信息?！贝空J(rèn)為，這份鑒定意見(jiàn)的權(quán)威性和公正性還有待考證。

世紀(jì)佳緣內(nèi)部人員則透露，世紀(jì)佳緣的安全團(tuán)隊(duì)一直在分析漏洞攻擊者的行為是否為惡意，世紀(jì)佳緣認(rèn)為，涉及到900多條有效數(shù)據(jù)被獲取，已經(jīng)完全超過(guò)了常規(guī)白帽子測(cè)試的范圍，通常情況下，白帽子只需要獲取少量數(shù)據(jù)甚至不獲取數(shù)據(jù)都能夠證明網(wǎng)站的漏洞，在無(wú)法百分百確定獲取者意圖的情況下，為了保護(hù)信息安全，公司最終還是決定報(bào)警。而在選擇報(bào)警之前，因?yàn)榇嬖趤?lái)自國(guó)內(nèi)不同地區(qū)IP地址的攻擊，世紀(jì)佳緣并未將漏洞提交者和事發(fā)當(dāng)晚的其他攻擊者聯(lián)系到一起。

而在補(bǔ)天平臺(tái)負(fù)責(zé)人、360網(wǎng)站安全總監(jiān)趙武看來(lái)，袁煒的行為并不難解釋?zhuān)┒刺峤黄脚_(tái)會(huì)給白帽子提交的漏洞打分，證據(jù)越詳細(xì)、危害越大的漏洞得分越高，這也使得白帽子們習(xí)慣于多獲取一些數(shù)據(jù)，而且以往的操作中，白帽子們獲取數(shù)據(jù)的做法并沒(méi)有遭到來(lái)自企業(yè)的反對(duì)和來(lái)自平臺(tái)的提醒，大家對(duì)此也習(xí)以為常。

“袁煒在烏云網(wǎng)上還是個(gè)實(shí)習(xí)白帽子，他只是個(gè)新手，擔(dān)心自己的技術(shù)不過(guò)關(guān)導(dǎo)致誤報(bào)，他才反復(fù)確認(rèn)漏洞的存在，也許正是反復(fù)確認(rèn)漏洞的行為，才導(dǎo)致了注入請(qǐng)求次數(shù)比較多。但是，SQL軟件是自帶緩存功能，袁煒除使用了SQL軟件以外，沒(méi)有主動(dòng)下載、存儲(chǔ)世紀(jì)佳緣服務(wù)器數(shù)據(jù)的想法。”代女士告訴記者。

根據(jù)《刑法》第二百八十五條規(guī)定，袁煒?biāo)嫦拥摹胺欠ǐ@取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪”，是指違反國(guó)家規(guī)定，侵入國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)，情節(jié)嚴(yán)重的行為。

“非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪屬于情節(jié)犯，只有達(dá)到一定情節(jié)后，才予以追究刑事責(zé)任。”長(zhǎng)期關(guān)注互聯(lián)網(wǎng)行業(yè)的京都律師事務(wù)所劉華斌律師分析說(shuō)。

“警方之所以抓捕袁煒，最大可能是涉及該罪司法解釋認(rèn)定標(biāo)準(zhǔn)中的‘獲取身份認(rèn)證信息五百組以上。結(jié)合袁煒一案，構(gòu)成獲取身份信息五百組還必須有兩項(xiàng)必要條件：一是鑒定意見(jiàn)里所認(rèn)定的共有11個(gè)IP進(jìn)行了注入式訪(fǎng)問(wèn)，那么需要細(xì)究，具體哪個(gè)IP讀取了多少信息，并具體到哪個(gè)IP由袁煒實(shí)際使用；二是鑒定意見(jiàn)中的932條數(shù)據(jù)是否屬于‘身份認(rèn)證信息，這些信息是否由袁煒獲取?！眲⑷A斌分析說(shuō)，如果這些數(shù)據(jù)不屬于“身份認(rèn)證信息”或者這些數(shù)據(jù)不是由袁煒獲取，那么袁煒是否構(gòu)成犯罪還值得商榷。

檢測(cè)漏洞的法律界限

“法律上沒(méi)有‘白帽子這一叫法，根據(jù)刑法規(guī)定，只要侵入‘國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)等特定領(lǐng)域，就成立非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪。”中國(guó)電子商務(wù)協(xié)會(huì)政策法律委員會(huì)委員、互聯(lián)網(wǎng)法律專(zhuān)家于國(guó)富接受記者采訪(fǎng)時(shí)說(shuō)，但對(duì)于普通的廠商計(jì)算機(jī)信息系統(tǒng)，僅僅實(shí)施了侵入行為，沒(méi)有破壞、控制、竊取數(shù)據(jù)等造成嚴(yán)重后果行為，不構(gòu)成犯罪；“白帽子在檢測(cè)漏洞時(shí)，只要不觸碰、獲取系統(tǒng)數(shù)據(jù)，在發(fā)現(xiàn)漏洞后及時(shí)提交報(bào)告給廠商，是不涉及此罪的”。

不過(guò)，于國(guó)富也指出，現(xiàn)實(shí)中有些白帽子由于經(jīng)驗(yàn)不足或者其他原因，在檢測(cè)漏洞過(guò)程時(shí)往往會(huì)“碰及數(shù)據(jù)”，在“越線(xiàn)操作”后再向廠商提交漏洞報(bào)告，這種行為在圈內(nèi)被戲稱(chēng)為“洗白”，“如果被檢測(cè)漏洞的企業(yè)不承認(rèn)這種‘洗白行為，認(rèn)為自己的數(shù)據(jù)被竊取，硬要追究責(zé)任的話(huà)，白帽子就處于高度法律風(fēng)險(xiǎn)當(dāng)中”。

“毋庸置疑，白帽子的出現(xiàn)，對(duì)于維護(hù)互聯(lián)網(wǎng)安全是有積極作用的，其檢測(cè)漏洞的行為動(dòng)機(jī)應(yīng)是合理的、善意的，但這種合理性的‘善意不能超越底線(xiàn)，白帽子檢測(cè)漏洞的行為不能被無(wú)限放大。任何一家公開(kāi)接受訪(fǎng)問(wèn)的服務(wù)器，是絕不接受惡意的侵害性訪(fǎng)問(wèn)的?！痹谟趪?guó)富看來(lái)，白帽子檢測(cè)漏洞的行為，好比“走鋼絲”，一念之差，天壤之別。

白帽子檢測(cè)漏洞的法律界限在哪里？劉華斌認(rèn)為，白帽子在檢測(cè)漏洞的過(guò)程中，相比于黑客，獲取的數(shù)據(jù)量應(yīng)該是少量的，類(lèi)似于做實(shí)驗(yàn)，“只需要采集一些樣本即可，不需要獲取整個(gè)物體”。

劉華斌分析說(shuō)，為了檢測(cè)漏洞的存在，白帽子的行為應(yīng)當(dāng)是“檢測(cè)性”的“攻擊”，而不是“破壞性”的“攻擊”，一個(gè)合格或者有經(jīng)驗(yàn)的白帽子，在檢測(cè)漏洞時(shí)候，是會(huì)考慮到“攻擊”的強(qiáng)度和后果，不會(huì)出現(xiàn)使整個(gè)服務(wù)器癱瘓或者篡改數(shù)據(jù)等嚴(yán)重后果，獲取的數(shù)據(jù)樣本是有限的。

“整個(gè)檢測(cè)和提交漏洞過(guò)程，袁煒都沒(méi)有隱藏自己的IP，因?yàn)閷?duì)于他來(lái)說(shuō)，這就是一個(gè)正常檢測(cè)漏洞的行為。如果袁煒知道自己的行為會(huì)構(gòu)成犯罪，或者他主觀上想犯罪，他是不會(huì)用公司和家里的IP地址去訪(fǎng)問(wèn)世紀(jì)佳緣網(wǎng)站的，他完全可以采用掛國(guó)外服務(wù)器代理或者做了跳板等技術(shù)手段；如果袁煒對(duì)于獲取的數(shù)據(jù)有惡意或私心，從提交漏洞后的幾個(gè)多月，他有足夠的時(shí)間把電腦里面緩存的數(shù)據(jù)物理銷(xiāo)毀?！贝空J(rèn)為，SQL緩存文件自帶緩存功能，而袁煒壓根上就沒(méi)有關(guān)注過(guò)SQL緩存文件的保存位置及格式，以致于造成今天的被動(dòng)局面。

“律師介入案件后，公安機(jī)關(guān)到現(xiàn)在還沒(méi)有公布細(xì)節(jié)，袁煒的計(jì)算機(jī)里是不是真的有從世紀(jì)佳緣下載的900多條數(shù)據(jù)？這讓我們家人很不解?！贝繄?jiān)信，對(duì)于白帽子群體而言，袁煒的行為就是一次普通、正常的提交漏洞行為，跟犯罪幾乎“不搭邊”。對(duì)此，記者致電世紀(jì)佳緣網(wǎng)，其工作人員稱(chēng)該案正由司法機(jī)關(guān)辦理中，目前不方便接受采訪(fǎng)。

“各方做法都欠妥”

袁煒被抓后，世紀(jì)佳緣幾乎成為了白帽子們的“公敵”，有數(shù)據(jù)表明，在袁煒案發(fā)后，世紀(jì)佳緣的網(wǎng)絡(luò)服務(wù)器，每天受到的網(wǎng)絡(luò)攻擊數(shù)量急劇上升，同時(shí)又有多個(gè)有關(guān)世紀(jì)佳緣的漏洞在烏云上被公布，被激怒的白帽子們?cè)谟米约旱姆绞奖磉_(dá)對(duì)世紀(jì)佳緣的不滿(mǎn)。

“或許袁煒在檢測(cè)漏洞前并未征得世紀(jì)佳緣的書(shū)面許可，但世紀(jì)佳緣既然在烏云網(wǎng)上注冊(cè)成為廠商用戶(hù)，必然也知道白帽子會(huì)對(duì)其網(wǎng)站平臺(tái)進(jìn)行漏洞檢測(cè)。至少在袁煒事件發(fā)生前，世紀(jì)佳緣對(duì)于烏云網(wǎng)的此種溝通方式并未提出明示的反對(duì)，袁煒與世紀(jì)佳緣的關(guān)系，可適用此前雙方的行為慣例。如果世紀(jì)佳緣拒絕白帽子檢測(cè)，完全可以作出相反的書(shū)面聲明，沒(méi)有必要對(duì)其此前收到的42次漏洞信息表示感謝。”

劉華斌分析說(shuō)，對(duì)于一些大企業(yè)、商家來(lái)說(shuō)，都很看重自己的品牌和聲譽(yù)，畢竟承認(rèn)自己的網(wǎng)站平臺(tái)存在漏洞“并不是一件光彩的事”，但對(duì)于白帽子善意的檢測(cè)漏洞行為，有利于企業(yè)修復(fù)漏洞，維護(hù)信息安全，除非是惡意性的違法攻擊，否則應(yīng)當(dāng)“包容”。

“袁煒被抓，烏云網(wǎng)對(duì)此也負(fù)有責(zé)任?！比?nèi)一不愿具名的資深白帽子告訴記者，烏云網(wǎng)在其網(wǎng)站聲明中，要求“白帽子需要保證研究漏洞的方式、方法、工具及其手段的合法性”，但烏云網(wǎng)卻“對(duì)此不承擔(dān)任何法律責(zé)任”。

“烏云網(wǎng)公布漏洞的流程模式也有些激進(jìn)，很容易招致企業(yè)商家的反感?！边@名資深白帽子介紹說(shuō)，一般而言，白帽子先將自己發(fā)現(xiàn)的漏洞提交至烏云漏洞報(bào)告平臺(tái)，烏云平臺(tái)審核后會(huì)進(jìn)行發(fā)布，普通漏洞披露流程為5天的廠商確認(rèn)期；10天后向核心白帽子公開(kāi)其漏洞細(xì)節(jié)；20天向普通白帽子公開(kāi)；30天向?qū)嵙?xí)白帽子公開(kāi)；45天之后，企業(yè)仍未主動(dòng)認(rèn)領(lǐng)漏洞，則會(huì)向公眾公開(kāi)其漏洞細(xì)節(jié)。

“雖然目標(biāo)口號(hào)是敦促維護(hù)網(wǎng)絡(luò)安全，但很多商家是在網(wǎng)站被檢測(cè)出漏洞后，被迫找烏云網(wǎng)認(rèn)領(lǐng)漏洞的，很多商家內(nèi)心深處并不樂(lè)意這么做，這種‘倒逼式的認(rèn)領(lǐng)做法，肯定會(huì)招致反感，而白帽子則充當(dāng)了烏云網(wǎng)發(fā)布漏洞的‘馬前卒?！鄙鲜霭酌弊臃治稣f(shuō)，即便商家確實(shí)存在漏洞，但烏云網(wǎng)是否有權(quán)利公布別人的漏洞細(xì)節(jié)，值得考究。

“白帽子這個(gè)群體的存在，有利于維護(hù)互聯(lián)網(wǎng)用戶(hù)信息的安全，從這一點(diǎn)上來(lái)說(shuō)，與王海打假有相似性，雖然可能招致商家、企業(yè)的反感，但最終有利于維護(hù)消費(fèi)者的利益?！眲⑷A斌認(rèn)為，無(wú)論是政府網(wǎng)站，還是企業(yè)商家網(wǎng)站，都會(huì)存在一定的漏洞，對(duì)于白帽子合理、善意的行為，應(yīng)當(dāng)包容。

據(jù)了解，該案仍處于退回補(bǔ)充偵查階段，本刊記者將持續(xù)關(guān)注本案進(jìn)展。