今天我吃到了一个网络安全领域的瓜:
根据聊天记录透露的信息,事情大概是这样:
一个挖洞的白帽子,挖到了一家公司的沙箱的漏洞,可以实现沙箱逃逸。
(这里插一句:沙箱是网络安全领域分析恶意样本文件的主流软件技术,通过将样本放置于沙箱的虚拟环境中运行,观测其动态行为表现,来综合分析样本是不是恶意软件)
这家公司是安全圈有名的公司,前段时间还因为开发监控员工离职倾向分析的功能上过热搜。
据白帽子的自述,他挖到这个漏洞之后,报给了这家公司的安全响应中心SRC。
这家公司的员工答复他说可以给他2万奖金,但等他提交之后,对方不认账了,以一些理由推脱说这是正常功能设定,不算是漏洞,之前承诺的2万块钱没了。
得到这个答复的白帽子,一下就怒了。在交涉无果之后,选择了将漏洞信息发布在了GitHub上。
然鹅,很快,这家安全公司就选择了报警,警察叔叔很快就找到了这位白帽子。
以上就是白帽子自述整件事的大致经过。
在吃到瓜的几个小时之后,这位白帽子的Github链接已经404了,办事效率真不错。
这位白帽子很是郁闷,我辛辛苦苦挖的漏洞,你前后态度截然不同,说过的钱不给也就罢了,既然你们不承认是漏洞,那我发到GitHub上后,为啥又报警说我把漏洞信息发布到境外平台?这不是自相矛盾吗?
小白鸽想告诉大家,白帽子们为了自身安全着想,还是把目光投向国外吧。去挖微软、苹果、谷歌、Adobe、Oracle的漏洞,哪个不是既有钱又有面儿?挣美刀不香吗?何必过的胆战心惊的,天天担心被送温暖。
不过话说回来,如果以后国内白帽子都不敢去挖国内公司的漏洞了,这对国内的网络安全也是一种看不到的伤害。
你管得到里面的人,但管不了外面的人,人家挖到可能就不是贪图你那三瓜俩枣的了,说不定会带来更大的损失和更严重的后果。
乌云倒下之后,漏洞就变少了吗?
对于这件事,大家怎么看?
网友评论