雷帝網 雷建平 7月5日報道

誰也沒有想到，在烏云網提交關于世紀佳緣的漏洞，會引發一個白帽子被捕。更讓人意想不到的是，自稱是白帽子實習生袁煒的父親致第四屆網絡安全大會的公開信會引發輿論軒然大波。

這封信稱，白帽子袁煒因在烏云網提交世紀佳緣漏洞而遭到后者舉報被抓。

事情的緣由是，袁煒在2015年12月3日發現世紀佳緣網站存在漏洞，于次日向世紀佳緣網提交發現的漏洞，同年12月7日，世紀佳緣在烏云上確認了該漏洞并致謝。

2016年1月18日，世紀佳緣報警稱有900多條有效數據被非法獲取。2016年3月8日，袁煒遭到警方刑事拘留，并于4月12日被批準逮捕。

一直到今天袁煒都被關押。雷帝網致電公開信中留下的電話，袁煒父親說，袁煒已被關押了好幾個月，這個事情對全家人來說都是晴天霹靂。“我們很想知道袁煒是否真的觸犯了法律。”

烏云內部人士在朋友圈說，關于白帽子袁煒被抓這個事件，烏云將在本周五的白帽子大會上打破沉默。烏云邀請了公安和司法領域的多位權威人士，與企業和白帽子做面對面的探討。

白帽子行為并不受法律保護

所謂白帽子，描述的是正面的黑客，其可以識別計算機系統或網絡系統中的安全漏洞，但并不會惡意去利用，而是公布其漏洞。系統可在被其他人（例如黑帽子）利用之前來修補漏洞。

白帽子對應的是灰帽子和黑帽子。百度百科資料顯示，灰帽子，他們擅長攻擊技術，但不輕易造成破壞，他們精通攻擊與防御，同時頭腦里具有信息安全體系的宏觀意識；

黑帽子，他們研究攻擊技術非法獲取利益，通常有著黑色產業鏈。

不過，白帽子也游離于灰色地帶，補天漏洞平臺前負責人趙武日前對京華時報表示，現在廠商和白帽子之間形成了一種默契，民不舉官不究而已。

趙武說，“很多白帽子并不清楚這一點，以為自己的行為是合理合法的。但是企業一旦較真，白帽子的行為是不受法律保護的。”

在事件被曝光后，世紀佳緣幾乎成白帽子們的“公敵”。世紀佳緣內部人士對雷帝網表示，世紀佳緣7月3日晚上遭遇來自多個省市的IP地址攻擊，有北京的，有杭州的，這和袁煒父親在公開信中的說法一致。

實際上，袁煒的事情爆發后，烏云創始人曾私下想找世紀佳緣和解，但在世紀佳緣舉報，警方介入后，事態已經脫離了世紀佳緣的控制范圍。

世紀佳緣CEO吳琳光說，“我們報警的初衷也是為了對用戶隱私和信息安全負責，并不針對任何個人或群體。”

吳琳光指出，今年5月，袁煒家屬也和世紀佳緣同事、烏云三方坐在一起溝通過此事，但這個事情已經進入司法公訴程序。“我們能做的有限，畢竟起訴人不是世紀佳緣，而是檢方。”

世紀佳緣否認“釣魚”

袁煒被抓事件發生后，世紀佳緣CEO吳琳光在知乎上講述了事情的來龍去脈。吳琳光知乎上表示：

“2015年12月4日，烏云依照行業慣例通知世紀佳緣網站存在SQL數據庫注入漏洞。

事實上，世紀佳緣負責網絡安全的同事在12月3日晚上就發現有多個IP地址對網站進行SQL注入攻擊。攻擊一直持續到12月4日晚上直至我們完全修復。

事后統計發現，攻擊總次數累計達到4000余次，共有900多條有效數據被攻擊者獲取。攻擊者會如何使用這些信息數據我們不得而知，出于對用戶數據和信息安全的擔憂，我們還是選擇了報警。

警方調查后發現，涉案人袁煒于2015年12月3日和4日使用黑客軟件Sqlmap掃描世紀佳緣網站，通過漏洞獲取了網站數據。

依照刑法，侵入計算機信息系統，獲得存儲、處理或傳輸的數據超過500條就屬于刑事犯罪的范疇了。今年4月12日，北京市朝陽區人民檢察院依據“非法獲取計算機信息系統數據犯罪”批準逮捕涉案人袁煒。

目前案件還在走司法程序，我們也相信司法機關會依據事實公平公正處理這個案子。

網上流傳世紀佳緣釣魚白帽子的說法，在這里告訴大家一個事實：

從烏云通知我們有漏洞至今，世紀佳緣都從未獲得過漏洞提交者（即涉案人袁煒）的聯系方式，也從未與他取得聯系，釣魚一說是安在我們頭上‘莫須有’的罪名。”

此外，一位世紀佳緣內部人士表示，“世紀佳緣報警時，我們也不知道他（袁煒）就是漏洞提交者，我們也給警方提交了相關證據，直到警方抓到人，通知我們時才知道原來數據獲取者和漏洞提交者是同一個人。”

上述人士稱，“白帽子們的情緒我能理解，但世紀佳緣真的沒有在‘釣魚’。”

世紀佳緣官方也說，在警方披露調查結果前，世紀佳緣并不了解網站攻擊者與漏洞提交者有何種關聯。世紀佳緣報警是出于對用戶隱私和公民信息安全考慮，并不針對任何個人或組織。

白帽子們怎么看

袁煒父親稱，袁煒只是眾多白帽子中普通的一員，這個事情一旦被認定犯罪成為判例，對廣大白帽子群體影響很大。

袁煒父親還說，“作為袁煒的父親，作為眾多白帽子的家屬中的一員，感謝各媒體和專家持續關注此事，也希望能給袁煒及其身后眾多的白帽子一個公平的評價和對待。”

一位業內人士指出，純粹從法律的角度看看，12月4日袁煒的行為逾越了法律的邊界，按照我國法律規定，構成非法侵入計算機信息系統罪的認定標準中，有一條是獲取身份認證信息500組以上。

按照這一標準，袁煒獲取了超過900條有效數據，或許是檢方批捕袁煒的主要原因。很多白帽子都此案爆發后，都曾經在網上表示之前并不清楚國內還有這樣一個法律條文。

上述人士也指出，但袁煒的行為是否存在著主觀故意，這應該也會是后續審判中，法官會考慮的因素。

袁煒在烏云的個人頁面顯示，在烏云上他是一個“實習白帽子”，除世紀佳緣外，從10月到12月袁煒共在烏云平臺提交了11個各類企業的安全漏。

這11個漏洞中，有10個是在2015年10月19至2015年12月4日這不到兩個月的時間，或許存在這樣一種可能：

作為烏云實習白帽子的袁煒，既不清楚法律的邊界，同時對Sqlmap軟件也不是特別熟悉。這一點，袁煒妻子也曾經對烏云平臺表示類似的觀點。

目前，世紀佳緣和烏云平臺都在持續關注這個事情，各方也希望事情能得到圓滿的解決。

以下是袁煒父親的公開信：

—————————————————

自媒體雷建平是雷建平的新號，主要是爆料為主，與雷帝觸網是兄弟賬號，雷帝觸網由資深媒體人雷建平創辦，若轉載請寫明來源。