日前，在第四屆網絡安全大會上，一封白帽子家屬的公開信引發各方關注。

按照公開信系統的信息，12月4日，一名烏云網的注冊用戶袁煒向烏云網提供了世紀佳緣的漏洞信息，并得到了世紀佳緣的認可。

但是，隨后的事情是世紀佳緣認為自己4400多條數據被注入，932條信息被讀取，隨即向公安機關報案。并且通過釣魚獲得了袁煒的真實身份和地址。隨即公安進行了抓捕。

袁的父親認為袁本身并非黑客竊取數據，而是在幫助世紀佳緣測試漏洞，被抓捕并不公平，要求各方幫助。

長期以來，關于黑客與白帽子的身份一直有爭論，這次事件更是引發了網絡安全界的廣泛關注。那么互聯網安全的邊界應該如何界定呢?

一、明規則與潛規則

中國對計算機信息安全是有嚴格法律規定的。入侵計算機系統，獲取數據，控制權限都是違法的。也就是說白帽子入侵任何計算機系統，無論做了破壞，還是沒做破壞，無論是跑了數據，還是沒跑，被入侵的公司或者機構都是可以報案的。

這次世紀佳緣認為自己的數據被注入，讀取而報案是符合法律規定的，這是明規則。

按照明規則，白帽子必須是被被攻擊公司聘請來對自己系統發起攻擊，以檢驗系統的安全性，健壯性。我們經常看到蘋果，微軟，特斯拉等公司發起過活動，邀請技術人員對自己的產品發起公益，給破解者若干獎勵。

雙方也可以通過協議形式，約定一次攻擊的權利責任，對系統的安全與健壯性做測試，這是明規則，不涉及違法。

但是，在實際運行中，逐漸出現了另外一種白帽子。這種白帽子并沒有經過廠家授權，而是先攻擊后通知。

當廠商的服務器接入互聯網，這些白帽子就發起攻擊，尋找系統漏洞，找到漏洞后給廠商確認，而廠商一般不會去追究這些白帽子的責任，反而會給予金錢或者禮品的回報。

因為廠商知道，這些白帽子發現的漏洞如果不通知自己，就會被黑客廣泛利用，造成數據泄漏，刪除，服務中止等嚴重后果。

而且由于網絡的匿名性，事后即使報案追查，在有意藏匿身份的黑客面前也是很無力的。因為網絡世界是全球的，權力僅僅在一國。跨國的網絡犯罪追查成本極高。

所以廠商雖然不太愿意自己的漏洞被發現攻擊，但是對于提供漏洞信息的白帽子基本還是合作態度。而不會去報案，這是潛規則。

二、世紀佳緣的破例

理論上說，廠商邀請發起攻擊，相當于安全測試的外包，廠家出錢，白帽子出力，發現漏洞，提升系統的安全性。

而白帽子自己攻擊系統，發現漏洞然后告知廠家，獲取金錢和禮物的回報，有點類似于強買強賣。廠家原本是不愿意為漏洞買單的，但是漏洞發現了，不買單可能會有極高的損失，廠家還是買了。

對白帽子來說，這種游走法律邊緣的做法一方面可以滿足他們對技術與破解的成就感，另外一方面還可以獲取一些報酬同時又不是赤裸裸的黑客犯罪，有些人也樂于此。這些人應該說是有情懷的，而非完全利益驅動。

如果利益驅動，那么他們會破解系統后，拖走全部數據，然后在黑產產業鏈中高價出售來牟利，雖然這違法，但是蓄意犯罪的黑客會有辦法隱藏自己的身份，讓追查變得極其困難。

事實上，國內外的泄漏事件很多，而真正報案抓住犯罪者的很少。

而白帽子認為是幫助廠家測試，所以并不太注意隱匿自己的身份。

而世紀佳緣這次是破例了，打破了長期以來形成的一種自然默契。嚴格按照法律辦事，攻擊就是犯罪，我就要報案。而另外一方的白帽子對此沒有準備，沒有做任何藏匿身份的舉動，甚至被釣魚主動提供身份地址，于是順利被抓。

三、未來的互聯網

這個事件對網絡安全行業是一個警告，世紀佳緣的破例，無論是偶然的黑天鵝事件(不了解網絡安全潛規則的人做決策)，還是蓄意的事件，對整個行業都會帶來影響。

未邀請的白帽子攻擊被視為非法，有被抓的可能。那么這些漏洞以后就不會再公開出來，也不會通知廠商。而是進入黑產，成為商品販賣。而商品的購買者則會利用漏洞盜取數據，甚至刪除數據造成服務中止。

而互聯網會變得比以前更加危險。很多網站的個人隱私數據完全依靠互聯網廠商自身的技術力量進行防護。

而我們要知道，僅僅是世紀佳緣就從烏云那里獲得了42個數據漏洞的信息，并且進行了修復。

如果這42個漏洞沒有人通知世紀佳緣，而是拿到黑產產業鏈去販賣，那么世紀佳緣的用戶還有隱私可言嗎?

而這次事件一出，未來不會再有白帽子把漏洞信息給世紀佳緣了，以后世紀佳緣就要靠自己的利益來保護千萬用戶的隱私信息了。用戶只能祈禱世紀佳緣能夠有足夠投入聘請第一流的網絡安全專家了。

對于其他互聯網公司來說，是學習世紀佳緣還是繼續潛規則對未來用戶的互聯網安全有很大影響。

如果都學世紀佳緣，拒絕非邀請的白帽子攻擊和漏洞通知，那么互聯網會空前的危險。對于用戶來說，就要謹慎的登錄個人信息。APP也好，網頁也好，只相信最大的BAT這幾家公司，其他非要注冊，那么就一個網絡一套密碼、ID和信息，而不能通用。

否則，只要有一家安全不到位被破解，被撞庫成功，用戶就沒有安全和隱私可言了。

作者：maomaobear | 來源：iDoNews 專欄