世纪佳缘网，得罪了所有的白帽子群体.....

　　最近，婚恋网站世纪佳缘，得罪了所有的白帽子群体。

　　所谓白帽子，就是正面的黑客。他们拥有着黑客技术，却把网络安全的事情当成自己的事情，这是一群挣扎在理想和现实边缘的黑客，他们可以识别网络、系统中的漏洞，但会向企业公布漏洞，不恶意利用漏洞，与之相对的是恶意利用漏洞盈利的“黑帽子”。

　　在上周举行的中国第四届网络安全大会上，一位来自杭州的袁先生以“白帽子检测漏洞到底是不是犯罪”为题发表了一封公开信，信中提到，儿子袁炜是知名第三方漏洞平台——乌云网的注册白帽子，用户名ledoo。袁炜发现了世纪佳缘的漏洞后，告诉了世纪佳缘后却遭到逮捕。

　　世纪佳缘十分感动，然后报了警？

　　据说当时情况是这样：

　　袁炜是一名实习白帽子，其在2015年12月3日发现世纪佳缘网站存在漏洞（程序猿本来想在世纪佳缘找个对象,结果找了个bug），由于信心不足，他下班后又在自己家中对世纪佳缘网的漏洞进行了测试，并于次日向世纪佳缘网提交了发现的漏洞，同年12月7日，世纪佳缘确认并修复了该漏洞，同时致谢乌云网和袁炜。

　　2016年1月18日，世纪佳缘报警称有4000余条实名注册信息被不法分子窃取。2016年3月8日，袁炜遭到警方刑事拘留，并于4月12日被批准逮捕。罪名是基于《刑法》285条第2款，入侵获取网络金融证券系统身份认证信息 10 条以上、一般系统 500 条以上被认为情节严重。目前该案件正处于检察院审查阶段，袁炜是否违法尚未有定论。

　　有报道称，世纪佳缘是以送礼物道谢为名，通过“钓鱼”的方式获得了袁炜的真实身份和地址，随后袁炜被抓捕。

　　世纪佳缘网此举虽然合法但不合情。因为白帽子与企业的合作，一般有两种。

　　一种是“协议邀请”，苹果，微软，特斯拉等公司都曾邀请技术人员对自己的产品发起攻击，并给破解者若干奖励。

　　另一种是“先斩后奏”。当厂商的服务器接入互联网，这些白帽子就发起攻击，寻找系统漏洞，找到漏洞后反馈给厂商确认并修复。

　　虽然先斩后奏有点胁迫的意味在，但如果白帽子不将漏洞通知给厂商，漏洞一旦被黑客广泛利用，就会造成数据泄漏，删除，服务中止等更为严重的后果。

　　厂商虽然不太愿意自己的漏洞被发现攻击，但是对于提供漏洞信息的白帽子，厂商一般不会去追究这些白帽子的责任，反而会给予金钱或者礼品的回报，更不会去报案，这是潜规则。

　　中国对计算机信息安全有严格的法律规定。入侵计算机系统，获取数据，控制权限都属违法行为。也就是说白帽子未经允许入侵任何计算机系统，无论破坏与否，获取数据与否，被入侵的公司或者机构都可以报案。

　　这次世纪佳缘认为自己的数据被注入，读取而报案是符合法律规定的，但是打破了厂商与白帽子之间心照不宣的潜规则。

　　世纪佳缘破坏规矩，抓捕白帽子，意味着：

　　一、世纪佳缘埋下了一颗隐患的种子，可能会因此遭到恶意攻击而出现大规模的用户数据泄露；

　　二、世纪佳缘基本断绝了与白帽子们的合作的可能。失去“保护”意味着世纪佳缘需要将自身的网络安全提升到无懈可击的程度，不给黑客以任何可乘之机；

　　三、会有大量注重隐私的用户离开世纪佳缘，造成公司业务下滑，股价下跌；

　　四、乌云、补天等漏洞报告平台，对企业与白帽子的合作和漏洞信息的披露亟待进一步规范。

　　五、将挫伤白帽们的积极性，会严重影响安全行业的持续健康发展。