乌云网“免责金牌”未必都管用-科技频道-金鱼财经网

[2021-02-20 01:03:33] 来源：编辑：wangjia 点击量：

评论 点击收藏

导读：原题：白帽子“查漏”入侵涉嫌违法乌云网“免责金牌”未必都管用法治周末见习记者仇飞小米论坛被“脱裤”事件，让方小顿以及其创建的网络漏洞报告平台—乌云网再次走到台前。截至目前，乌云共披露了近5万

原题：白帽子“查漏”入侵涉嫌违法

乌云网“免责金牌”未必都管用

法治周末见习记者仇飞

小米论坛被“脱裤”事件，让方小顿以及其创建的网络漏洞报告平台—乌云网再次走到台前。

截至目前，乌云共披露了近5万个网络安全漏洞，漏洞涉及领域繁多，包括IT企业、银行、海关系统、政府部门官方网站等核心网站，并且已有携程、腾讯、淘宝等524家厂商在乌云注册。

白帽子发现漏洞提交给乌云

“乌云网的性质是漏洞披露平台，即乌云网本身只提供信息发布平台，具体的漏洞信息由用户(白帽子)上传，乌云网在符合条件的情况下公开信息。”乌云网法律顾问赵占领告诉法治周末记者。

百度词条将“白帽子”解释为：正面黑客，他们可以识别计算机系统或网络系统中的安全漏洞，但并不会恶意去利用，而是公布其漏洞。

“乌云的技术团队—白帽子已达到5000名，这些白帽黑客有各大公司的网络安全工程师，有IT从业人员，也有白领、律师甚至厨师。”乌云网创始人方小顿介绍。

乌云网对白帽子有相应的管理措施：白帽子注册必须通过Email的验证，在证实白帽子提交虚假漏洞信息后，乌云将根据情况扣除用户的头衔甚至直接删除用户。

方小顿指出，在乌云平台发布的漏洞，所有权归提交者(白帽子)所有。白帽子发现漏洞并向乌云网提交，乌云网团队对白帽子提交的漏洞信息审核后发布。

“白帽子在乌云发布的信息分为安全事件和安全风险两种。前者已经发生且对公众产生影响，乌云会报告厂商，让厂商协助处理，并对公众预警；后者属于隐患，乌云直接将漏洞报给厂商，由厂商负责调查是否已经发生问题，乌云不参与后续事宜。”方小顿谈到。

“善意黑客”难平质疑之声

然而，乌云网作为“善意黑客”的集结地，也遭到不少质疑。首当其冲的是对乌云“公益性”的质疑。

“乌云从成立的第一天起就定位为介于白帽子和企业之间的非营利组织，是由国家信息安全漏洞共享平台和广东省信息安全测评中心提供资金支持的公益性网站。”方小顿提到。

而业内人士张一(化名)告诉记者：“乌云网并非一个公立第三方机构，而是纯粹的民营公司，其收入来源于其漏洞披露规则。”

“按照乌云网规则，白帽子提交漏洞并通过审核后，乌云网会公布漏洞概要(内容包括漏洞标题、涉及厂商、漏洞类型与简要描述)，厂商有5天的确认周期，之后漏洞详情才会依次向安全合作伙伴、核心白帽子、安全专家等公开。但当某些安全服务公司向乌云网支付一定费用之后，就可以提前看到其服务客户的所有漏洞，这种未经客户允许就向服务公司透露信息的行为是否违法，有待商榷。”张一说。

白帽子获取网站漏洞信息的方法也备受质疑：他们是如何发现网站漏洞的？之前是否已入侵过企业网络？这种行为如何定性……

上海律师协会信息网络与高新技术委员会主任商建刚律师此前对媒体表示，如果白帽子在没有得到企业或厂商允许的前提下，入侵该企业的网络，这种行为本身是违法行为。

“这种行为本身涉嫌构成非法入侵计算机系统罪，不同于该类犯罪的传统表现形式是，白帽子的行为是为了验证漏洞的存在，而非破坏或者仅仅是出于好奇，因此，在量刑上会作为酌定情节加以考虑。”赵占领指出。

张一谈到，未授权的黑盒安全测试是违法的，所以黑客们入侵网站盗取信息，一般最后只要在乌云网向厂商提交漏洞，就可以洗白。

至于为什么可以“洗白”？张一解释，“这与乌云网的免责条款有关”。

记者在《乌云网信息安全相关保护和声明》中看到：白帽子需要保证研究漏洞的方法、方式、工具及手段的合法性，乌云对此不承担任何法律责任；乌云及团队尽量保证信息的可靠性，但是不绝对保证所有信息来源的可信，其中漏洞证明方法可能存在攻击性，但是一切都是为了说明问题而存在，乌云对此不负担任何责任。

然而，对于白帽子违法收集漏洞的手段行为和乌云网“存在攻击性”的漏洞证明行为，是否可以仅因“免责声明”，乌云网就能“独善其身”？

赵占领认为，从法律角度而言，乌云网属于网络服务提供者，一般适用侵权责任法第36条规定的通知删除规则。

“白帽子发布的信息如果包含企业的商业秘密或者个人隐私，侵犯他人合法权益，权利人可以向乌云网发出侵权通知，乌云网若不删除则承担连带责任。”赵占领说。

“漏洞报告是可以公布的，但不能过于细化，不能公开涉及当事企业的商业秘密，不能传授犯罪的方法，否则乌云就可能会承担连带责任。”赵占领说。

监督制衡互联网企业

尽管存在对乌云公益性、白帽子“查漏”手段等的质疑，但乌云客观上对网站厂商形成的监督作用不容忽视。