白帽子发布漏洞后被抓世纪佳缘否认“钓鱼”

　　并非第一个被抓的白帽子

　　“这不是第一次有白帽子被抓，之前也有一些白帽子被捕甚至是判刑。”赵武介绍，之前出事的白帽子，很多时候是因为对自己身份的错误认识和冲动。白帽子在平台上提交的漏洞，有的时候企业并不认可，于是会激怒一些冲动的白帽子。“你不认是吧？那等着被攻击吧！”有的白帽子真的利用发现的漏洞进行攻击。这种行为就背离了白帽子行业的初衷，一些白帽子也因此栽了进去。“不过袁炜还不是这样的行为，在我们看来，他的做法就是很正常的白帽子找漏洞、提交漏洞的行为，没有越线。”赵武说。

　　世纪佳缘内部人士向记者透露，他们的安全团队一直在分析漏洞攻击者的行为是否恶意。他们认为，涉及到900多条有效数据被获取，已经完全超过了常规白帽子测试的范围，通常情况下，白帽子只需要获取少量数据甚至不获取数据都能够证明网站的漏洞，在无法百分百确定获取者意图的情况下，为了保护信息安全，公司最终还是决定报警。而在选择报警之前，因为存在来自国内不同地区IP地址的攻击，世纪佳缘并未将漏洞提交者和事发当晚的其他攻击者联系到一起。

　　在赵武看来，袁炜的行为并不难解释。漏洞提交平台会给白帽子提交的漏洞打分，证据越详细、危害越大的漏洞得分越高，这也使得白帽子们习惯于多获取一些数据，而且以往的操作中，白帽子们获取数据的做法并没有遭到来自企业的反对和来自平台的提醒，大家对此也习以为常。

　　赵武认为，企业内部的安全人员是能够分辨出是白帽子还是恶意攻击的，很多在企业内做安全的人本身也是白帽子。但是决定是否报警的是企业的管理层和法务部门，他们不懂技术，这种分歧可能是造成袁炜被抓的原因。

　　愤怒且自危的白帽子们

　　在事件被曝光后，世纪佳缘几乎成为了白帽子们的“公敌”。世纪佳缘内部人士表示，这段时间，世纪佳缘网站遭遇的网络攻击数量确实比平时有所增加，短短几天时间，又有多个世纪佳缘的漏洞在乌云上被公布。被激怒的白帽子们在用自己的方式表达对世纪佳缘的不满。

　　“世纪佳缘的做法对白帽子们的伤害很大。”白帽子方明（化名）对记者说，白帽子的圈子里对世纪佳缘有一种同仇敌忾的心理，针对世纪佳缘的漏洞寻找，也是民间的一种自发反击。

　　知名白帽子“猪猪侠”上周在乌云提交了一个关于世纪佳缘的漏洞，在说明中，他特意写道“如果厂商不愿意接受来自互联网的贸然测试，可在修复本漏洞后点击忽略该漏洞，并在厂商回复处留下‘请不要测试本公司，本公司将采取法律手段约束你们的测试行为，后果自负。’之后走国际黑名单惯例，不会再有人关注贵公司信息系统的安全风险。”讽刺意味十足。

　　赵武看来，白帽子们的愤怒和“报复”可以理解，但并不值得提倡。以往的经验也证明，白帽子如果采取过激的报复手段，最终结果往往南辕北辙，也可能会招来企业的反报复，对企业和白帽子都不是好的处理方式。

　　愤怒的同时，自身安全也是白帽子们担忧的问题。因为袁炜的做法在白帽子当中是很普遍的，如果这一案件形成了判例，也意味着更多的白帽子都面临风险。