近日,一名白帽员工因为向Github提交漏洞而被叫到警察局问话的消息引起了网友的热议。
昨天我深信不疑,相关人员回应说,工作人员在没有看到漏洞细节的情况下,并没有承诺奖金。报警是因为该员工之前公布了企业的其他漏洞,这种行为给很多客户带来了很多不必要的麻烦。
以下为原回复:
大家好,首先我们公司一直在处理平台上每一个白帽和IDxxx提出的问题。经历了多轮评估、仲裁、复评等等,少则10天,多则半个月。我们最终给出了反馈,认为是公平公正的。该提交被拒绝,因为攻击的前提是管理员必须事先配置指定的进程哈希和进程信息,这是特定的。
我们的工作人员在没有看到漏洞细节的情况下,并没有承诺奖金,他们总是友好耐心地解释奖金的范围。RD的工作人员经常加班核实所提供的不完整信息。一是尊重提交者,二是尊重我们的客户,从来不敢出任何差错。因为所有平台都是要求先提交细节,再评估奖金,这是行业常识,我们不想因为一个个案就破坏行业共识。
为什么要报警?因为我们之前公布过其他漏洞,这种行为给我们的很多客户带来了不必要的麻烦。然后以此为筹码谈价格。我们不能认可这种行为。相信群里的人都认不出来,也损害了广大白帽子的权益。如果报警真的是为了保护客户利益,担心以后有什么违法行为,给客户带来实实在在的损失就来不及了。
最后,我想发起一个小调查。有多少人对我们的SRC不满意,有多少人对我们的SRC满意?
对于接到电话的人,我想他们最有发言权。工作不到位的地方,我们会虚心接受建议并改正,让您有更好的体验,感谢您长期以来的支持。
多吃瓜:
以下是这位员工的发言原文:
我做梦也没想到,今天我被叫到辖区分公司的原因是你们公司说我把漏洞暴露给了海外平台。在此事件之前,贵公司口口声声说是正常的业务功能设计。为什么这个时候报案还说是漏洞?
你一开始发现要吃我的空子的时候报警了吗?这不是明摆着欺负人吗?你还在说什么?Github是一个海外平台。那么我冒昧的问一句,既然是海外平台,为什么国家还允许大家访问这个网站?为什么会被说服使用github的代码?为什么国内优秀厂商在上面开放自己的知识。是不是所有使用Github平台的人都背叛了自己的国家?这真是一个不稳定的记录。
5月13日,我说明了漏洞的情况和利用条件。他最初给我的回复是,我可以给2W奖金,让他先提交到后台。5月18日提交后,我说等三天后再问,意思是这是正常的功能设计,不承认是漏洞,我不接受。让他给我一个合理的解释和说服。我自己给不了,然后申请仲裁也不给你回复。现在直接报警。我真是大开眼界!你们公司现在的行为和世纪佳缘有什么区别?如果你没有得到免费的漏洞,报警!我这顶白帽子真高!今天我去分局向警察同志说明情况后,警察同志对我的行为表示理解和认可,但这件事绝不会就此结束。我会把你的行动公之于众,让大家看看,评论一下。服气这么大的公司怎么欺负一个普通的白帽子。
