社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
Py学习  »  Git

在 GitHub 发布这家公司漏洞,警察找上门!

程序员的那些事 • 4 年前 • 327 次点击  

吃到了一个网络安全领域的瓜:

根据聊天记录透露的信息,事情大概是这样:

一个挖洞的白帽子,挖到了一家公司的沙箱的漏洞,可以实现沙箱逃逸。

(这里插一句:沙箱是网络安全领域分析恶意样本文件的主流软件技术,通过将样本放置于沙箱的虚拟环境中运行,观测其动态行为表现,来综合分析样本是不是恶意软件)

这家公司是安全圈有名的公司,前段时间还因为开发监控员工离职倾向分析的功能上过热搜。

据白帽子的自述,他挖到这个漏洞之后,报给了这家公司的安全响应中心SRC。

这家公司的员工答复他说可以给他2万奖金,但等他提交之后,对方不认账了,以一些理由推脱说这是正常功能设定,不算是漏洞,之前承诺的2万块钱没了。

得到这个答复的白帽子,一下就怒了。在交涉无果之后,选择了将漏洞信息发布在了GitHub上。

然鹅,很快,这家安全公司就选择了报警,警察叔叔很快就找到了这位白帽子。

以上就是白帽子自述整件事的大致经过。

在吃到瓜的几个小时之后,这位白帽子的Github链接已经404了,办事效率真不错。

这位白帽子很是郁闷,我辛辛苦苦挖的漏洞,你前后态度截然不同,说过的钱不给也就罢了,既然你们不承认是漏洞,那我发到GitHub上后,为啥又报警说我把漏洞信息发布到境外平台?这不是自相矛盾吗?

想告诉大家,白帽子们为了自身安全着想,还是把目光投向国外吧。去挖微软、苹果、谷歌、Adobe、Oracle的漏洞,哪个不是既有钱又有面儿?挣美刀不香吗?何必过的胆战心惊的,天天担心被送温暖。

不过话说回来,如果以后国内白帽子都不敢去挖国内公司的漏洞了,这对国内的网络安全也是一种看不到的伤害。

你管得到里面的人,但管不了外面的人,人家挖到可能就不是贪图你那三瓜俩枣的了,说不定会带来更大的损失和更严重的后果。

乌云倒下之后,漏洞就变少了吗?

不过也有人反应,说是勒索不成才变成这样的,真相如何不得而知。

对于这件事,大家怎么看?

- EOF -

推荐阅读  点击标题可跳转

1、当字节跳动在美国输出中国式 996

2、我在荷兰做程序员的体验

3、浏览器可运行 Python 代码了!Python 是要前后端通吃了吗?


关注「程序员的那些事」加星标,不错过圈内事

点赞和在看就是最大的支持❤️

Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/136388