白帽子发布漏洞后被抓世纪佳缘否认“钓鱼”

　　在白帽子们看来，这就是一次普通得不能再普通的找漏洞行为；在世纪佳缘公司看来，这是在保护用户数据上做了一个正常的决定。但是当这两者碰到一起，就演变成了白帽子圈子里不亚于一场地震的抓人事件。谁对谁错？现在很难说清，或许在多年以后，袁炜的遭遇，会成为安全行业发展历史上的一个标志性事件。

　　先获感谢后被举报

　　白帽子行业的传奇人物、补天漏洞平台前负责人赵武这段时间接到了很多白帽子打来的电话，或愤怒，或担忧，这些白帽子和他说的都是一件事，即现在国内白帽子圈子里关注度最高的“袁炜事件”。

　　袁炜是互联网漏洞报告平台“乌云”上的一名白帽子。去年12月份，他在乌云提交了其发现的婚恋交友网站世纪佳缘的系统漏洞。在世纪佳缘确认、修复了漏洞并按乌云平台惯例向漏洞提交者致谢后，事情突然发生转折。世纪佳缘在一个多月后以“网站数据被非法窃取”为由报警，4月份，袁炜被司法机关逮捕。在不久前的第四届网络安全大会上，袁炜的父亲发出公开信为儿子鸣冤，让袁炜的遭遇成为网络安全圈的热门事件。

　　关于袁炜被抓，坊间传出世纪佳缘“钓鱼”的说法，有人质疑为何世纪佳缘在向乌云和漏洞提交者致谢后的一个多月又突然报警。对此，世纪佳缘方面给出了回应：“自乌云通知公司网站存在漏洞至今，世纪佳缘从未获得过漏洞提交人的联系方式并与之取得联系。在警方披露调查结果前，世纪佳缘并不了解网站攻击者与漏洞提交者有何种关联。世纪佳缘报警是出于对用户隐私和公民信息安全的考虑，并不针对任何个人或组织。”

　　按照袁炜父亲在公开信中的描述，袁炜于去年12月3日下午发现世纪佳缘网站漏洞；当天晚上，他为了验证漏洞，又通过发现的漏洞浏览了世纪佳缘的部分数据，确认漏洞存在；次日上午，袁炜向乌云提交该漏洞，同一天乌云通知世纪佳缘；12月7日，在完成漏洞修复后，世纪佳缘在乌云平台确认漏洞的页面向该漏洞提交者表示感谢。今年1月18日，世纪佳缘向北京市公安局朝阳分局报案称数据被窃取；3月8日，袁炜被刑事拘留；4月12日，北京朝阳检察院以涉嫌非法获取计算机信息系统数据犯罪，批捕袁炜。

　　世纪佳缘向记者介绍的事件时间顺序，与袁父所说基本相同，而世纪佳缘的内部人士则向记者补充了一些内情：去年12月3日晚，世纪佳缘安全维护人员发现有多个来自国内不同省市的IP地址向其网站发起了攻击；12月7日，在完成漏洞修复后，世纪佳缘向乌云和漏洞提交者表示感谢。“正是这次表示感谢的举动，被人传成了‘钓鱼’。”世纪佳缘相关人士说道。至于为何在表示感谢一个月后又突然报警，世纪佳缘CEO吴琳光则在知乎上解释称：“在漏洞修复过程中，我们发现有900多条有效数据被攻击者获取，出于对用户数据和信息安全的担忧，我们选择了报警。”他同时表示，“在警方披露调查结果之前，我们并不知道提交漏洞的白帽子和攻击者是同一个人。”