網易SRC指責白帽子私自披露已修復漏洞，強調違刑必究

新聞 06-02

網路安全法實施第一天，網易安全應急響應中心（NSRC）和一位白帽子爭執了起來。

網易SRC發布在今天下班時分發布了一則言辭極為激烈的聲明，指責平台上有白帽子不遵守平台漏洞測試原則，未經授權情況下，擅自公開披露了一例已修復漏洞的細節。

以下為聲明全文：

網易安全應急響應中心一直秉承合作、開放的心態與廣大白帽子切磋交流，也非常感謝每一位支持網易安全建設的安全夥伴。《中華人民共和國網路安全法》於即日起正式實施，我們呼籲每一位白帽子仔細研讀該法律條文，並在進行安全測試時定要遵紀守法，避免在做網路安全檢測時面臨不必要的風險，這樣不僅是對法律的敬重，也是對自身的保護。

近期發現個別白帽子在網易某漏洞測試活動中，違反漏洞測試原則，在未經網易及NSRC授權的情況下，擅自公開披露漏洞細節，讓廣大網易產品用戶置於潛在的風險中,並且其在披露漏洞細節一文以及個人微博中部分所述與事實不符

在此，NSRC對此事進行如下說明：

2017-04-14 15:19 該白帽子報告已提交。

2017-04-14 15:19 該白帽子提交的報告正在審核中。

2017-04-14 17:52 該白帽子提交的報告已確認。

2017-04-14 17:52 該白帽子提交的報告已評分，本次報告獲得10積分，對應貢獻幣400枚。

2017-04-14 18:07 該白帽子提交的報告重新評估後獲得10積分，對應貢獻幣600枚。

2017-04-21 產品團隊推出第一個修復後的更新版本，並於線上測試。

2017-04-22 該白帽子在博客、微博等未經網易授權對漏洞細節進行了披露。

該白帽子在未經網易授權的情況下，擅自公開披露漏洞細節，違反了NSRC平台規則：

《網易安全應急響應中心安全報告處理說明》中「基本原則」說明：

未經允許請勿在任何公眾場合或平台討論或披露產品漏洞細節。如有上述行為，網易將有權追究其法律責任。

同時在《中華人民共和國網路安全法》第三章第二十六條中也有相關法律約束：

開展網路安全認證、檢測、風險評估等活動，向社會發布系統漏洞、計算機病毒、網路攻擊、網路侵入等網路安全信息，應當遵守國家有關規定。

針對於此種不規範的行為，網易安全應急響應中心決定，撤回該白帽子此漏洞的獎勵，該用戶提交的其他漏洞不受影響。對於情節嚴重者，網易有權追究其法律責任。並且，對於白帽子違反規則進而構成刑事犯罪的行為，網易有法定義務報案、舉報、並配合刑事偵查機關提供相應證據。

為規範漏洞挖掘行為，維護NSRC白帽子和NSRC平台的合法權益，NSRC決定正式施行《網易安全應急響應中心服務條款》，同時我們也呼籲每一位白帽子在進行安全測試前仔細研讀《中華人民共和國網路安全法》法律條文以及NSRC平台《網易安全應急響應中心服務條款》各項條款，明確自己的責任和義務，避免在做網路安全檢測時面臨不必要的風險，以維護自身的合法權益。

一直以來，NSRC的白帽子們為網易甚至整個互聯網的安全都做出了卓越的貢獻，我們深知，網易安全建設不光需要安全工程師團隊，更大的助力來自願意支持和幫助我們的NSRC白帽子與廣大網易用戶！這裡，也衷心感謝幾年來一直默默支持我們的白帽子與網易用戶！透過一個個安全漏洞與一次次安全事件，我們深切體會到目前的互聯網安全狀況的嚴峻，而層出不窮的安全問題如何解決，知不易，行更難！

如何幫助產品變得更穩健，如何讓用戶更安心，我們一直在思考，也一直在行動。

在安全的路上，願我們與你易路常相伴~

網易安全應急響應中心

NetEase Security Response Center

另一面，當事白帽子昨天在博客上也描述了事件的大概經過。