6月26日消息,近日,一组“白帽子检测漏洞到底是不是犯罪”的照片引起了大量网友关注,照片是一封致第四届网络安全大会的信,发信人自称是白帽子实习生袁炜的父亲,信中爆料称,白帽子袁炜因在乌云网提交世纪佳缘漏洞而遭到后者举报被抓。
信件显示,袁炜是一名实习白帽子,其在2015年12月3日发现世纪佳缘网站存在漏洞,由于信心不足,他下班后又在自己家中对世纪佳缘网的漏洞进行了测试,并于次日向世纪佳缘网提交了发现的漏洞,同年12月7日,世纪佳缘确认并修复了该漏洞,同时致谢乌云网和袁炜。
2016年1月18日,世纪佳缘报警称有4000余条实名注册信息被不法分子窃取。2016年3月8日,袁炜遭到警方刑事拘留,并于4月12日被批准逮捕。
目前该事件已在知乎上引起广泛讨论,多数网友表示世纪佳缘网的做法很坑爹,但白帽子袁炜的行为确实是违法的。
根据知乎网友魏十七的说法,首先,所有未经授权的渗透测试都是违法的。
国家刑法第二百八十六条规定,关于恶意利用计算机犯罪相关条文对于违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
怎么算是合法的,上面的刑法条文把不合法的部分说了。
还有就是此白帽子在渗透过程中跑了4000条用户信息(900条?)。。不管出发点是怎样的,但是我国有一个《非法获取公民个人信息罪》
非法获取公民个人信息罪是指以窃取或者其他方法非法获取国家机关或者金融、电信、交通、教育、医疗等单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的行为。根据刑法规定,犯本罪的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
那么个人信息的定义是什么?
但是这里没有具体说明关于获取信息用途的认定,所以很带有主观性。
但是,按《刑法》285条第2款及相关司法解释,入侵获取金融证券系统身份认证信息10条以上、一般系统500条以上,就可以判刑。
《刑法》第二百八十五条第二款:非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节严重”:(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;(二)获取第(一)项以外的身份认证信息五百组以上的;(三)非法控制计算机信息系统二十台以上的;(四)违法所得五千元以上或者造成经济损失一万元以上的;(五)其他情节严重的情形。实施前款规定行为,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节特别严重”:(一)数量或者数额达到前款第(一)项至第(四)项规定标准五倍以上的;(二)其他情节特别严重的情形。明知是他人非法控制的计算机信息系统,而对该计算机信息系统的控制权加以利用的,依照前两款的规定定罪处罚。请注意在《刑法》285条第二款中明确提到的数据量,重复一下,入侵获取金融证券系统身份认证信息10条以上、一般系统500条以上,就可以视为情节严重。
以上是法律信息。
另外,补天的白帽子行为规范说的很清楚了。。
所以啊,白帽都是在走法律钢丝,不容易,遇到个坑爹的厂商就懵了。
