网易SRC指责白帽子私自披露已修复漏洞，强势表态违刑必究

admin

0
文章

0
评论

2023-11-24 21:43:05 4HOU_新闻来源：ZONE.CI 全球网 0 阅读模式

网络安全法实施第一天，网易安全应急响应中心（NSRC）和一位白帽子争执了起来。

在今天下班时分，网易SRC发布了一则言辞极为激烈的声明，指责平台上有白帽子不遵守平台漏洞测试原则，未经授权情况下，擅自公开披露了一例已修复漏洞的细节。

以下为声明全文：

屏幕快照 2017-06-01 下午8.35.34.png

网易安全应急响应中心一直秉承合作、开放的心态与广大白帽子切磋交流，也非常感谢每一位支持网易安全建设的安全伙伴。《中华人民共和国网络安全法》于即日起正式实施，我们呼吁每一位白帽子仔细研读该法律条文，并在进行安全测试时定要遵纪守法，避免在做网络安全检测时面临不必要的风险，这样不仅是对法律的敬重，也是对自身的保护。

近期发现个别白帽子在网易某漏洞测试活动中，违反漏洞测试原则，在未经网易及NSRC授权的情况下，擅自公开披露漏洞细节，让广大网易产品用户置于潜在的风险中,并且其在披露漏洞细节一文以及个人微博中部分所述与事实不符，事后沟通时，其并未积极配合消除影响，给我们后续降低用户面临的风险带来极大的被动和额外的代价。

在此，NSRC对此事进行如下说明：

2017-04-14 15:19 该白帽子报告已提交。

2017-04-14 15:19 该白帽子提交的报告正在审核中。

2017-04-14 17:52 该白帽子提交的报告已确认。

2017-04-14 17:52 该白帽子提交的报告已评分，本次报告获得10积分，对应贡献币400枚。

2017-04-14 18:07 该白帽子提交的报告重新评估后获得10积分，对应贡献币600枚。

640 (1).png

2017-04-21 产品团队推出第一个修复后的更新版本，并于线上测试。

2017-04-22 该白帽子在博客、微博等未经网易授权对漏洞细节进行了披露。

该白帽子在未经网易授权的情况下，擅自公开披露漏洞细节，违反了NSRC平台规则：

《网易安全应急响应中心安全报告处理说明》中 “基本原则”说明：

“未经允许请勿在任何公众场合或平台讨论或披露产品漏洞细节。如有上述行为，网易将有权追究其法律责任。”

同时在《中华人民共和国网络安全法》第三章第二十六条中也有相关法律约束：

“开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。”

针对于此种不规范的行为，网易安全应急响应中心决定，撤回该白帽子此漏洞的奖励，该用户提交的其他漏洞不受影响。对于情节严重者，网易有权追究其法律责任。并且，对于白帽子违反规则进而构成刑事犯罪的行为，网易有法定义务报案、举报、并配合刑事侦查机关提供相应证据。

为规范漏洞挖掘行为，维护NSRC白帽子和NSRC平台的合法权益，NSRC决定正式施行《网易安全应急响应中心服务条款》，同时我们也呼吁每一位白帽子在进行安全测试前仔细研读《中华人民共和国网络安全法》法律条文以及NSRC平台《网易安全应急响应中心服务条款》各项条款，明确自己的责任和义务，避免在做网络安全检测时面临不必要的风险，以维护自身的合法权益。

一直以来，NSRC的白帽子们为网易甚至整个互联网的安全都做出了卓越的贡献，我们深知，网易安全建设不光需要安全工程师团队，更大的助力来自愿意支持和帮助我们的NSRC白帽子与广大网易用户！这里，也衷心感谢几年来一直默默支持我们的白帽子与网易用户！透过一个个安全漏洞与一次次安全事件，我们深切体会到目前的互联网安全状况的严峻，而层出不穷的安全问题如何解决，知不易，行更难！

如何帮助产品变得更稳健，如何让用户更安心，我们一直在思考，也一直在行动。

在安全的路上，愿我们与你易路常相伴~

网易安全应急响应中心

NetEase Security Response Center

另一面，当事白帽子昨天在博客上也描述了事件的大概经过。

屏幕快照 2017-06-01 下午8.36.10.png