微慑信息网

网易SRC:关于近期一例未授权擅自披露漏洞细节事件的处理声明

 

网易安全应急响应中心一直秉承合作、开放的心态与广大白帽子切磋交流,也非常感谢每一位支持网易安全建设的安全伙伴。《中华人民共和国网络安全法》于即日起正式实施,我们呼吁每一位白帽子仔细研读该法律条文,并在进行安全测试时定要遵纪守法,避免在做网络安全检测时面临不必要的风险,这样不仅是对法律的敬重,也是对自身的保护。

 

近期发现个别白帽子在网易某漏洞测试活动中,违反漏洞测试原则,在未经网易及NSRC授权的情况下,擅自公开披露漏洞细节,让广大网易产品用户置于潜在的风险中,并且其在披露漏洞细节一文以及个人微博中部分所述与事实不符,事后沟通时,其并未积极配合消除影响,给我们后续降低用户面临的风险带来极大的被动和额外的代价。

 

在此,NSRC对此事进行如下说明:

 

2017-04-14 15:19 该白帽子报告已提交。

2017-04-14 15:19 该白帽子提交的报告正在审核中。

2017-04-14 17:52 该白帽子提交的报告已确认。

2017-04-14 17:52 该白帽子提交的报告已评分,本次报告获得10积分,对应贡献币400枚。

2017-04-14 18:07 该白帽子提交的报告重新评估后获得10积分,对应贡献币600枚

2017-04-21 产品团队推出第一个修复后的更新版本,并于线上测试。

2017-04-22  该白帽子在博客、微博等未经网易授权对漏洞细节进行了披露。

该白帽子在未经网易授权的情况下,擅自公开披露漏洞细节,违反了NSRC平台规则:

《网易安全应急响应中心安全报告处理说明》中 “基本原则”说明:

“未经允许请勿在任何公众场合或平台讨论或披露产品漏洞细节。如有上述行为,网易将有权追究其法律责任。“

同时在《中华人民共和国网络安全法》第三章第二十六条中也有相关法律约束:

”开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。“

针对于此种不规范的行为,网易安全应急响应中心决定,撤回该白帽子此漏洞的奖励,该用户提交的其他漏洞不受影响。对于情节严重者,网易有权追究其法律责任。并且,对于白帽子违反规则进而构成刑事犯罪的行为,网易有法定义务报案、举报、并配合刑事侦查机关提供相应证据

 

为规范漏洞挖掘行为,维护NSRC白帽子和NSRC平台的合法权益,NSRC决定正式施行《网易安全应急响应中心服务条款》,同时我们也呼吁每一位白帽子在进行安全测试前仔细研读《中华人民共和国网络安全法》法律条文以及NSRC平台《网易安全应急响应中心服务条款》各项条款,明确自己的责任和义务,避免在做网络安全检测时面临不必要的风险,以维护自身的合法权益

 

一直以来,NSRC的白帽子们为网易甚至整个互联网的安全都做出了卓越的贡献,我们深知,网易安全建设不光需要安全工程师团队,更大的助力来自愿意支持和帮助我们的NSRC白帽子与广大网易用户!这里,也衷心感谢几年来一直默默支持我们的白帽子与网易用户!透过一个个安全漏洞与一次次安全事件,我们深切体会到目前的互联网安全状况的严峻,而层出不穷的安全问题如何解决,知不易,行更难!

如何帮助产品变得更稳健,如何让用户更安心,我们一直在思考,也一直在行动。

在安全的路上,愿我们与你易路常相伴~

 

网易安全应急响应中心

NetEase Security Response Center

 

 

本文标题:网易SRC:关于近期一例未授权擅自披露漏洞细节事件的处理声明
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2017/0602_2112.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 网易SRC:关于近期一例未授权擅自披露漏洞细节事件的处理声明
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们