文档章节

非常感谢提交漏洞和对世纪佳缘的支持,我们已第一时间将漏洞修复完毕,并抓捕了你

七侠镇莫小贝
 七侠镇莫小贝
发布于 2017/04/13 13:15
字数 1121
阅读 4
收藏 0

https://www.zhihu.com/question/47775182


如何看待白帽子在乌云网提交世纪佳缘网漏洞后被抓?

被浏览
359676

396 个回答

更新:感谢大家一直以来的关注关心,袁炜已经出来了。事情告一段落。

再次感谢。


吴总

你好,

袁炜被捕已经近4个月了,我看到了家属和乌云为了此事所付出的各种努力,多次试图与您沟通未果,在这里看到您的回应,非常高兴,看来以前是家属跟您之间沟通的方式不太对。

当然作为袁炜的朋友,我更加关心袁炜自身的状况,被捕四个月中间,家属一次没有见到他,律师反馈其精神状态有些消沉;袁炜只是一个普通的程序员,因为职业原因,才对网络安全产生了兴趣,到乌云来学习,作为一个新手,行为可能有些过界,但被关押这么久,不管是家属还是他个人都是一个严重的打击和警告。

不管是对这种行为的惩戒还是警告,都已经达到了目的。


但仔细看您的声明后,我跟家属了解详细情况后对比之下,吃惊的发现贵司在陈述事实与实际行为之间巨大的差异,我不想以恶意揣测您的意图,也不想大家因为这些产生非议,所以下面几点需要您帮忙解释一下:


一、您说“出于对用户数据和信息安全的担忧,我们还是选择了报警”。事实上,案发时间是2015年12月3日,贵公司报案时间是2016年1月22日,如果贵公司真的是出于保护用户数据和信息的考虑,为何在案发之后近两个月才报警?


二、另外你表示“事后统计发现,攻击总次数累计达到4000余次,共有900多条有效数据被攻击者获取”。世纪佳缘网站报案时声称的是“世纪佳缘网有 4000 余条实名注册信息被不法分子窃取。”上述两种说法的差距之大足以影响司法机关的审理和判断,那么贵公司报警的说法和您此次的声明之间的出入,又是基于什么原因呢?


三、 “涉案人袁炜于2015年12月3日和4日使用黑客软件Sqlmap扫描世纪佳缘网站,通过漏洞获取了网站数据”。如果定义Sqlmap是黑客软件,是不是意味着使用这个软件的人都是黑客?


四、事后世纪佳缘委托了第三方鉴定机构对服务器日志进行了鉴定,鉴定报告只发现了有900余条数据被读取。读取和获取一字之差,意义却相差万里,刑法规定了非法获取计算机信息系统数据罪,没有规定非法读取计算机信息系统数据罪。读取和获取一字之差足以严重影响袁炜的一生,不知贵司对此有无解释?


五、声明称“依照刑法,侵入计算机信息系统,获得存储、处理或传输的数据超过500条就属于刑事犯罪的范畴了。”事实上,我国刑法没有如此规定。引用之前的帖子:


身份认证信息500组以上才构成犯罪,而500条和500组又是一字之差,意义相差万里。世纪佳缘被读取的900余条信息是不是身份认证信息以及这些身份认证信息能折算成多少组,而这些信息中具体包含了多少公民个人信息,请贵司能否举出证据。


吴琳光先生,在你的本次回应中,将数据被读取称为数据被获取,将刑法规定的500组换成500条,又将“数据”换成身份认证信息或者公民个人信息。


这几个问题会严重影响此事的性质认定判断,会对袁炜的命运产生重大影响,所以,希望得到您的解释。


本文转载自:http://blog.csdn.net/kimqcn4/article/details/58058004

七侠镇莫小贝
粉丝 3
博文 92
码字总数 5648
作品 0
海淀
QA/测试工程师
私信 提问
90后小伙利用支付宝漏洞被抓, 我为什么拍手叫好?

大家可能对前阵子支付宝的「赚钱红包」活动略有印象,活动大概就是这样的:支付为每个用户生成一个专用二维码,别人扫你的二维码就可以获得一个红包。而当对方消费时,你也将获得一个等额红包...

陈树义
2018/04/17
0
0
腾讯员工举报漏洞被逮捕,“白帽子”的行为边界到底在哪儿?

23岁的郑杜涛(音译)是腾讯的一名安全工程师,因为参加新加坡网络安全会议临时入住了新加坡的飞龙酒店,出于程序员的敏感和好奇,决定监测一下酒店的WiFi服务器是否存在漏洞。 第一步,他轻...

程序员之家_
2018/09/26
0
0
关于大疆证书密钥信息泄露事件的思考

白帽子袁炜在乌云网提交世纪佳缘漏洞被抓一事,你应该有所耳闻吧?这在当时引起了不小的轰动,白帽子与企业如何相处一度成为一大热门话题。 就在近日,一则白帽子遭大疆威胁的事件,再一次将...

伯特
2018/07/02
0
0
runc容器逃逸漏洞最强后续:应对之策汇总与热点疑问解答

美国时间2019年2月11日晚,runc通过oss-security邮件列表披露了runc容器逃逸漏洞CVE-2019-5736的详情。runc是Docker、CRI-O、Containerd、Kubernetes等底层的容器运行时,此次安全漏洞无可避...

RancherLabs
02/15
157
0
【OpenSSL】heartbleed漏洞源码分析

前言 最近IT界最火的事情莫过于openssl的heartbleed漏洞,关于该漏洞带来的可怕后果本文就不再赘述了。作为一名程序员,如果我们仅仅只是看看或是抱着无所谓的态度去了解一下这个漏洞,那么我...

算法与编程之美
2014/04/13
8K
74

没有更多内容

加载失败,请刷新页面

加载更多

面试官问:平时碰到系统CPU飙高和频繁GC,你会怎么排查?

处理过线上问题的同学基本上都会遇到系统突然运行缓慢,CPU 100%,以及Full GC次数过多的问题。当然,这些问题的最终导致的直观现象就是系统运行缓慢,并且有大量的报警。本文主要针对系统运...

Java高级架构师n
40分钟前
18
0
面向对象编程

1、类和对象 类是对象的蓝图和模板,而对象是实例;即对象是具体的实例,类是一个抽象的模板 当我们把一大堆拥有共同特征的对象的静态特征(属性)和动态特征(行为)都抽取出来后,就可以定...

huijue
今天
18
0
redis异常解决 :idea启动本地redis出现 jedis.exceptions.JedisDataException: NOAUTH Authentication required

第一次安装在本地redis服务,试试跑项目,结果却出现nested exception is redis.clients.jedis.exceptions.JedisDataException: NOAUTH Authentication required错误,真是让人头疼 先检查一...

青慕
今天
32
0
Spring 之 IoC 源码分析 (基于注解方式)

一、 IoC 理论 IoC 全称为 Inversion of Control,翻译为 “控制反转”,它还有一个别名为 DI(Dependency Injection),即依赖注入。 二、IoC方式 Spring为IoC提供了2种方式,一种是基于xml...

星爵22
今天
32
0
Docker安装PostgresSql

Docker安装PostgresSql 拉取docker镜像 # docker pull postgres:10.1010.10: Pulling from library/postgres9fc222b64b0a: Pull complete 38296355136d: Pull complete 2809e135bbdb: Pu......

Tree
今天
17
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部