网易安全应急响应中心一直秉承合作、开放的心态与广大白帽子切磋交流,也非常感谢每一位支持网易安全建设的安全伙伴。《中华人民共和国网络安全法》于即日起正式实施,我们呼吁每一位白帽子仔细研读该法律条文,并在进行安全测试时定要遵纪守法,避免在做网络安全检测时面临不必要的风险,这样不仅是对法律的敬重,也是对自身的保护。
近期发现个别白帽子在网易某漏洞测试活动中,违反漏洞测试原则,在未经网易及NSRC授权的情况下,擅自公开披露漏洞细节,让广大网易产品用户置于潜在的风险中,并且其在披露漏洞细节一文以及个人微博中部分所述与事实不符,事后沟通时,其并未积极配合消除影响,给我们后续降低用户面临的风险带来极大的被动和额外的代价。
在此,NSRC对此事进行如下说明:
2017-04-14 15:19 该白帽子报告已提交。
2017-04-14 15:19 该白帽子提交的报告正在审核中。
2017-04-14 17:52 该白帽子提交的报告已确认。
2017-04-14 17:52 该白帽子提交的报告已评分,本次报告获得10积分,对应贡献币400枚。
2017-04-14 18:07 该白帽子提交的报告重新评估后获得10积分,对应贡献币600枚
2017-04-21 产品团队推出第一个修复后的更新版本,并于线上测试。
2017-04-22 该白帽子在博客、微博等未经网易授权对漏洞细节进行了披露。
该白帽子在未经网易授权的情况下,擅自公开披露漏洞细节,违反了NSRC平台规则:
《网易安全应急响应中心安全报告处理说明》中 “基本原则”说明:
“未经允许请勿在任何公众场合或平台讨论或披露产品漏洞细节。如有上述行为,网易将有权追究其法律责任。“
同时在《中华人民共和国网络安全法》第三章第二十六条中也有相关法律约束:
”开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。“
针对于此种不规范的行为,网易安全应急响应中心决定,撤回该白帽子此漏洞的奖励,该用户提交的其他漏洞不受影响。对于情节严重者,网易有权追究其法律责任。并且,对于白帽子违反规则进而构成刑事犯罪的行为,网易有法定义务报案、举报、并配合刑事侦查机关提供相应证据。
为规范漏洞挖掘行为,维护NSRC白帽子和NSRC平台的合法权益,NSRC决定正式施行《网易安全应急响应中心服务条款》,同时我们也呼吁每一位白帽子在进行安全测试前仔细研读《中华人民共和国网络安全法》法律条文以及NSRC平台《网易安全应急响应中心服务条款》各项条款,明确自己的责任和义务,避免在做网络安全检测时面临不必要的风险,以维护自身的合法权益。
一直以来,NSRC的白帽子们为网易甚至整个互联网的安全都做出了卓越的贡献,我们深知,网易安全建设不光需要安全工程师团队,更大的助力来自愿意支持和帮助我们的NSRC白帽子与广大网易用户!这里,也衷心感谢几年来一直默默支持我们的白帽子与网易用户!透过一个个安全漏洞与一次次安全事件,我们深切体会到目前的互联网安全状况的严峻,而层出不穷的安全问题如何解决,知不易,行更难!
如何帮助产品变得更稳健,如何让用户更安心,我们一直在思考,也一直在行动。
在安全的路上,愿我们与你易路常相伴~
网易安全应急响应中心
NetEase Security Response Center
![[娱乐] 刘翔脚伤尚无有效治疗方法 提高成绩困难(图)-微慑信息网-VulSee.com](http://img1.qq.com/news/pics/12683/12683397.jpg)
![[八卦] 王婷婷—揭秘一个大三女生的性爱录像-微慑信息网-VulSee.com](http://free.86hy.com/crack/pic/1.jpg)
![[随笔]今天国际警察节-微慑信息网-VulSee.com](http://photo.sohu.com/20041017/Img222528326.jpg)
青云网
