法律漩渦中的“白帽子”

汪文濤

袁煒的行為并不難解釋，漏洞提交平臺會給白帽子提交的漏洞打分，證據越詳細、危害越大的漏洞得分越高，這也使得白帽子們習慣于多獲取一些數據

“

袁煒檢測出世紀佳緣的漏洞讓對方修復，世紀佳緣卻報警抓了袁煒。從3月8日被抓進去至今已有半年，我們家人到今天還弄不清楚，袁煒到底犯了什么罪？‘白帽子檢測漏洞是犯罪嗎？”9月17日，雙鬢斑白的袁冠陽在接受記者采訪時連連嘆息。

今年64歲的袁冠陽年事已高，原本對互聯網一竅不通，但為了給兒子袁煒“鳴冤”，他多方請教專家，四處奔走呼號。不久前，在北京召開的第四屆網絡安全大會上，袁冠陽不期而至，到現場發出了多封公開信，讓袁煒的遭遇在互聯網圈瞬間引起軒然大波，并引發了網絡安全行業人士的熱議與討論。

袁冠陽在公開信中稱，袁煒是互聯網漏洞報告平臺——“烏云網”上的一名“白帽子”，2015年12月，袁煒檢測發現了婚戀交友網站——“世紀佳緣”的系統漏洞，并在烏云網上提交了系統漏洞。世紀佳緣先是確認、修復了漏洞，并向烏云網和袁煒致謝。但事情轉折發生在世紀佳緣以“網站數據被非法竊取”報警之后，警方經調查拘留了袁煒。

業內人士介紹，所謂“白帽子”，是指識別計算機系統或網絡系統中安全漏洞的網絡安全技術人員，與網絡黑客不同的是，他們只是檢測漏洞，并不惡意去利用漏洞，“白帽子”通過向相關平臺或者廠家反饋、發布漏洞，以敦促廠家在漏洞被“黑客”攻擊利用之前將其修復完善，維護計算機和互聯網安全。

“白帽子”袁煒檢測并提交了世紀佳緣的漏洞；而世紀佳緣出于保護用戶隱私安全考慮，報警抓人。其中的孰是孰非，目前司法尚無定論，但多位網絡安全業內人士和法律專家在接受記者采訪時均認為，袁煒事件或將成為互聯網安全史上一個標志性的“分水嶺”。

剛成為實習白帽子

“袁煒大學里學的是計算機專業，他是一個典型的理工男，一臉的書生氣，看上去可能有些內向，但他為人憨厚、真誠，沒有什么花花架子。”袁煒妻子代女士接受記者采訪時表示。

據代女士介紹，袁煒不抽煙也不喝酒，平時愛好踢足球、看球賽、玩魔獸世界，每天規規矩矩地上下班。

由于工作的需要，袁煒參加了前幾屆互聯網安全大會，開始涉足網絡安全行業，夢想成為網絡安全圈的專業“大咖”。“為此，他買了一堆堆計算機網絡方面的書籍，每天下班后的時間，除了跟2歲的女兒玩一會，就是看書學習”。

“一直到今年3月8日，那天早上，我們是一塊出的門；中午的時候，袁煒的同事突然來電話，說北京來了幾個公安人員以協助調查的名義，把袁煒連人帶電腦都帶走了。”代女士回憶，事情來得很突然，當時都沒明白是什么情況，后來打聽，才發現是世紀佳緣網漏洞事件。

袁煒涉案后，代女士和委托律師開始多方了解情況、搜集證據，想努力搞清楚袁煒事件的前后脈絡。“我記得去年年底，袁煒有和我提到，他提交過世紀佳緣的漏洞，后來世紀佳緣還通過烏云網聯系他說表示感謝，不知為何后來突然被公安機關抓走了。”代女士向記者出示了兩份書面復印件，一份為杭州某家電有限公司的“證明”；另一份系烏云網的“情況說明”。

“證明”里提到，袁煒自2009年10月起在該家電公司擔任“信息安全運維主管”職務，工作期間“行為端正、品行優良”，2014年榮獲公司優秀服務支持獎；2015年表現突出，綜合績效評估為A。

“情況說明”里則介紹：北京北冥魚信息技術有限公司依法經營的網站烏云網，是一個位于廠商和安全研究者之間的安全問題反饋平臺。目前，已經與國家互聯網應急響應中心CNCERT等部門展開了合作。

“情況說明”還介紹說，“袁煒系在烏云網注冊的白帽子會員，會員名稱：ledoo。其自從在本網站注冊以來，無任何違法違規行為”；“世紀佳緣于2012年1月21日作為廠商入駐烏云平臺，允許烏云平臺注冊的白帽子檢測世紀佳緣的漏洞”。

“情況說明”還在文中末尾提到，“2015年12月4日，袁煒發現世紀佳緣網存在重大安全漏洞，及時通過方式實名提交相關漏洞，我網站在獲悉相關信息后按照規定提交給世紀佳緣網。隨后，世紀佳緣對相關漏洞予以確認并進行修補，并與2015年12月7日向烏云平臺發來感謝，對袁煒的重大發現和貢獻表示感謝。在此過程中，袁煒并無惡意，也未索取任何利益”。

袁煒家人向記者提供了經過公證的相關證據材料，該材料顯示，袁煒是于2015年10月19日在烏云網注冊，成為了一名實習白帽子，用戶名是ledoo；而世紀佳緣網站早在2012年1月21日就注冊成為了烏云網的企業用戶。

相關網頁材料還顯示出，作為烏云網的實習白帽子，袁煒共向烏云網提交了包括世紀佳緣在內的11個不同網站的漏洞，其中8個得到驗證并被修復；同時，包括袁煒在內，在烏云網的注冊白帽子們先后向世紀佳緣提交了42個漏洞信息，世紀佳緣核實確認后修復了相關漏洞，并向烏云網的多名白帽子請求發送小禮物以表感謝。

各執一詞：測試漏洞還是非法攻擊

按照家屬的說法，袁煒是于2015年12月3日下午4時，在公司使用SQLmap軟件（以下簡稱SQL軟件）對世紀佳緣的網站進行漏洞檢測，發現世紀佳緣網存在漏洞。由于袁煒只是實習白帽子，擔心自己的技術不過關導致誤報，為了確認漏洞，袁煒下班后回到家中使用同一筆記本電腦和SQL軟件繼續對世紀佳緣網站的服務器進行漏洞檢測。

代女士稱，袁煒通過SQL軟件注入成功瀏覽了存儲在世紀佳緣服務器中的部分數據，確認了世紀佳緣網站的服務器確實存在漏洞，第二天（12月4日）早上6點多，袁煒又確認了一遍漏洞的存在。在整個漏洞檢測過程中，袁煒除使用了SQL軟件以外，沒有主動下載、存儲任何世紀佳緣服務器的數據。上班后，袁煒使用其在烏云的名為ledoo的注冊賬號，向烏云網提交了世紀佳緣網站的漏洞，當日烏云網通知了世紀佳緣網站。

2015年12月7日下午，世紀佳緣確認并修復了漏洞，并致謝烏云網及袁煒。僅僅一個月后，出人意料的是，2016年1月18日，世紀佳緣網的運營主體花千樹公司向北京市公安局朝陽分局報案稱：2015年12月3日22時許，花千樹公司運營的世紀佳緣網站受到11個IP的SQL注入攻擊，持續時間8小時40分，有4000余條實名注冊信息被不法分子竊取。

2016年3月8日，袁煒被北京市公安局朝陽分局以涉嫌“非法獲取計算機信息系統數據罪”，被刑事拘留。4月12日，經北京市朝陽區檢察院批準，袁煒因涉嫌“非法獲取計算機信息系統數據罪”，被批準逮捕。

袁煒案發后，各路輿情在網上開始發酵，但世紀佳緣卻一直沒有官方回應。直到6月29日，世紀佳緣CEO（首席執行官）吳琳光在知乎網社區上發文談論此事，但吳琳光也表示，因案件尚在司法調查期間，文章內容僅代表個人觀點。

吳琳光稱，2015年12月3日晚，公司安全人員發現有多個IP地址對其網站進行SQL注入攻擊。隨后，安全人員通過技術手段阻斷了部分攻擊。次日，烏云網通知世紀佳緣其網站存在漏洞。該輪攻擊持續到12月4日晚上，直至安全人員將其完全修復。事后，世紀佳緣方面統計發現，攻擊總次數累計4000余次，共有900多條有效數據被攻擊者獲取。“出于對用戶數據和信息安全的擔憂，我們還是選擇了報警。”吳琳光稱。

對于部分網友質疑“世紀佳緣”網站“釣魚執法”一說，吳琳光進行了否認，他表示，在警方披露調查結果前，世紀佳緣并不知道提交漏洞的白帽子和攻擊者是否同一人，“報警不針對任何個人或群體，公司也沒有聯系過袁某”。吳琳光還在個人回應中提到，袁某在檢測漏洞時使用的SQLmap是網絡黑客工具。

“SQL軟件并非袁煒開發的軟件，也并非是專用的黑客工具，它就是一款電腦技術人員常用的工作軟件，這個軟件不是區分白帽子與黑客的標準。”代女士告訴記者。

“SQLmap是安全圈內常用的工具之一，這個軟件自帶緩存功能，會自動將測試信息存儲到本地的一個隱藏文件夾，一直以來網絡安全圈內并沒有對安全工具和黑客工具加以區分。”圈內一人士告訴記者，白帽子檢測漏洞和黑客入侵從技術方法上看也許沒有區別，也許都會使用到SQL軟件；從技術上考量，對被訪問的網站而言，白帽子檢測漏洞實質上也是一種“注入攻擊”行為。

引發爭議的932條數據信息

據了解，為了獲取“被攻擊”的證據，世紀佳緣委托了一家司法鑒定所對其服務器日志進行鑒定，鑒定意見顯示，世紀佳緣網在2015年12月3日17時許至2015年12月4日10時許，陸續受到“124.160.67.131”等11個IP地址以SQL注入為手段的訪問請求，注入請求為4400余次。SQL注入成功后，入侵者對網站數據庫進行了讀取操作，涉及讀取操作的數據庫數據信息為932條。

“這份鑒定意見是世紀佳緣自行委托某鑒定機構做的，并非司法機關指定的專門鑒定機構；而且在鑒定報告中，并沒有確認到底哪些IP是袁煒操作的，也沒有詳細說明袁煒的這些IP具體讀取了多少組有效的身份認證信息。”代女士認為，這份鑒定意見的權威性和公正性還有待考證。

世紀佳緣內部人員則透露，世紀佳緣的安全團隊一直在分析漏洞攻擊者的行為是否為惡意，世紀佳緣認為，涉及到900多條有效數據被獲取，已經完全超過了常規白帽子測試的范圍，通常情況下，白帽子只需要獲取少量數據甚至不獲取數據都能夠證明網站的漏洞，在無法百分百確定獲取者意圖的情況下，為了保護信息安全，公司最終還是決定報警。而在選擇報警之前，因為存在來自國內不同地區IP地址的攻擊，世紀佳緣并未將漏洞提交者和事發當晚的其他攻擊者聯系到一起。

而在補天平臺負責人、360網站安全總監趙武看來，袁煒的行為并不難解釋，漏洞提交平臺會給白帽子提交的漏洞打分，證據越詳細、危害越大的漏洞得分越高，這也使得白帽子們習慣于多獲取一些數據，而且以往的操作中，白帽子們獲取數據的做法并沒有遭到來自企業的反對和來自平臺的提醒，大家對此也習以為常。

“袁煒在烏云網上還是個實習白帽子，他只是個新手，擔心自己的技術不過關導致誤報，他才反復確認漏洞的存在，也許正是反復確認漏洞的行為，才導致了注入請求次數比較多。但是，SQL軟件是自帶緩存功能，袁煒除使用了SQL軟件以外，沒有主動下載、存儲世紀佳緣服務器數據的想法。”代女士告訴記者。

根據《刑法》第二百八十五條規定，袁煒所涉嫌的“非法獲取計算機信息系統數據罪”，是指違反國家規定，侵入國家事務、國防建設、尖端科學技術領域以外的計算機信息系統或者采用其他技術手段，獲取該計算機信息系統中存儲、處理或者傳輸的數據，情節嚴重的行為。

“非法獲取計算機信息系統數據罪屬于情節犯，只有達到一定情節后，才予以追究刑事責任。”長期關注互聯網行業的京都律師事務所劉華斌律師分析說。

“警方之所以抓捕袁煒，最大可能是涉及該罪司法解釋認定標準中的‘獲取身份認證信息五百組以上。結合袁煒一案，構成獲取身份信息五百組還必須有兩項必要條件：一是鑒定意見里所認定的共有11個IP進行了注入式訪問，那么需要細究，具體哪個IP讀取了多少信息，并具體到哪個IP由袁煒實際使用；二是鑒定意見中的932條數據是否屬于‘身份認證信息，這些信息是否由袁煒獲取。”劉華斌分析說，如果這些數據不屬于“身份認證信息”或者這些數據不是由袁煒獲取，那么袁煒是否構成犯罪還值得商榷。

檢測漏洞的法律界限

“法律上沒有‘白帽子這一叫法，根據刑法規定，只要侵入‘國家事務、國防建設、尖端科學技術領域的計算機信息系統等特定領域，就成立非法獲取計算機信息系統數據罪。”中國電子商務協會政策法律委員會委員、互聯網法律專家于國富接受記者采訪時說，但對于普通的廠商計算機信息系統，僅僅實施了侵入行為，沒有破壞、控制、竊取數據等造成嚴重后果行為，不構成犯罪；“白帽子在檢測漏洞時，只要不觸碰、獲取系統數據，在發現漏洞后及時提交報告給廠商，是不涉及此罪的”。

不過，于國富也指出，現實中有些白帽子由于經驗不足或者其他原因，在檢測漏洞過程時往往會“碰及數據”，在“越線操作”后再向廠商提交漏洞報告，這種行為在圈內被戲稱為“洗白”，“如果被檢測漏洞的企業不承認這種‘洗白行為，認為自己的數據被竊取，硬要追究責任的話，白帽子就處于高度法律風險當中”。

“毋庸置疑，白帽子的出現，對于維護互聯網安全是有積極作用的，其檢測漏洞的行為動機應是合理的、善意的，但這種合理性的‘善意不能超越底線，白帽子檢測漏洞的行為不能被無限放大。任何一家公開接受訪問的服務器，是絕不接受惡意的侵害性訪問的。”在于國富看來，白帽子檢測漏洞的行為，好比“走鋼絲”，一念之差，天壤之別。

白帽子檢測漏洞的法律界限在哪里？劉華斌認為，白帽子在檢測漏洞的過程中，相比于黑客，獲取的數據量應該是少量的，類似于做實驗，“只需要采集一些樣本即可，不需要獲取整個物體”。

劉華斌分析說，為了檢測漏洞的存在，白帽子的行為應當是“檢測性”的“攻擊”，而不是“破壞性”的“攻擊”，一個合格或者有經驗的白帽子，在檢測漏洞時候，是會考慮到“攻擊”的強度和后果，不會出現使整個服務器癱瘓或者篡改數據等嚴重后果，獲取的數據樣本是有限的。

“整個檢測和提交漏洞過程，袁煒都沒有隱藏自己的IP，因為對于他來說，這就是一個正常檢測漏洞的行為。如果袁煒知道自己的行為會構成犯罪，或者他主觀上想犯罪，他是不會用公司和家里的IP地址去訪問世紀佳緣網站的，他完全可以采用掛國外服務器代理或者做了跳板等技術手段；如果袁煒對于獲取的數據有惡意或私心，從提交漏洞后的幾個多月，他有足夠的時間把電腦里面緩存的數據物理銷毀。”代女士認為，SQL緩存文件自帶緩存功能，而袁煒壓根上就沒有關注過SQL緩存文件的保存位置及格式，以致于造成今天的被動局面。

“律師介入案件后，公安機關到現在還沒有公布細節，袁煒的計算機里是不是真的有從世紀佳緣下載的900多條數據？這讓我們家人很不解。”代女士堅信，對于白帽子群體而言，袁煒的行為就是一次普通、正常的提交漏洞行為，跟犯罪幾乎“不搭邊”。對此，記者致電世紀佳緣網，其工作人員稱該案正由司法機關辦理中，目前不方便接受采訪。

“各方做法都欠妥”

袁煒被抓后，世紀佳緣幾乎成為了白帽子們的“公敵”，有數據表明，在袁煒案發后，世紀佳緣的網絡服務器，每天受到的網絡攻擊數量急劇上升，同時又有多個有關世紀佳緣的漏洞在烏云上被公布，被激怒的白帽子們在用自己的方式表達對世紀佳緣的不滿。

“或許袁煒在檢測漏洞前并未征得世紀佳緣的書面許可，但世紀佳緣既然在烏云網上注冊成為廠商用戶，必然也知道白帽子會對其網站平臺進行漏洞檢測。至少在袁煒事件發生前，世紀佳緣對于烏云網的此種溝通方式并未提出明示的反對，袁煒與世紀佳緣的關系，可適用此前雙方的行為慣例。如果世紀佳緣拒絕白帽子檢測，完全可以作出相反的書面聲明，沒有必要對其此前收到的42次漏洞信息表示感謝。”

劉華斌分析說，對于一些大企業、商家來說，都很看重自己的品牌和聲譽，畢竟承認自己的網站平臺存在漏洞“并不是一件光彩的事”，但對于白帽子善意的檢測漏洞行為，有利于企業修復漏洞，維護信息安全，除非是惡意性的違法攻擊，否則應當“包容”。

“袁煒被抓，烏云網對此也負有責任。”圈內一不愿具名的資深白帽子告訴記者，烏云網在其網站聲明中，要求“白帽子需要保證研究漏洞的方式、方法、工具及其手段的合法性”，但烏云網卻“對此不承擔任何法律責任”。

“烏云網公布漏洞的流程模式也有些激進，很容易招致企業商家的反感。”這名資深白帽子介紹說，一般而言，白帽子先將自己發現的漏洞提交至烏云漏洞報告平臺，烏云平臺審核后會進行發布，普通漏洞披露流程為5天的廠商確認期；10天后向核心白帽子公開其漏洞細節；20天向普通白帽子公開；30天向實習白帽子公開；45天之后，企業仍未主動認領漏洞，則會向公眾公開其漏洞細節。

“雖然目標口號是敦促維護網絡安全，但很多商家是在網站被檢測出漏洞后，被迫找烏云網認領漏洞的，很多商家內心深處并不樂意這么做，這種‘倒逼式的認領做法，肯定會招致反感，而白帽子則充當了烏云網發布漏洞的‘馬前卒。”上述白帽子分析說，即便商家確實存在漏洞，但烏云網是否有權利公布別人的漏洞細節，值得考究。

“白帽子這個群體的存在，有利于維護互聯網用戶信息的安全，從這一點上來說，與王海打假有相似性，雖然可能招致商家、企業的反感，但最終有利于維護消費者的利益。”劉華斌認為，無論是政府網站，還是企業商家網站，都會存在一定的漏洞，對于白帽子合理、善意的行為，應當包容。

據了解，該案仍處于退回補充偵查階段，本刊記者將持續關注本案進展。