今日凌晨，中國最大漏洞報告平臺烏云網突然無法訪問。

而微博實名大V“互聯網那些事”則爆料稱烏云網被連鍋端，高層被全部帶走。此爆料一出，再加上官方頁面也確實存在無法訪問問題，使得不少用戶擔心擔心其存在涉及敏感信息的問題導致被關停。

但不久后，烏云網站掛出公告稱，烏云及相關服務將升級，并稱將在最短時間內回歸，并勸告眾多不明真相的用戶，不要相信謠言。

巧合的是，另外一家白帽子社區漏洞盒子也發表聲明，稱將對互聯網漏洞與威脅情報項目中的流程制度、規范等進行梳理，目前將暫停接受互聯網漏洞與威脅情報。

而備受關注的白帽子則指的是正面的黑客，他們可以識別計算機系統或網絡系統中的安全漏洞，但并不會惡意去利用，而是公布其漏洞。

網頁無法訪問與“袁煒事件”有關聯？

在互聯網繁榮的時代下，網絡安全一直是我們極其關注的話題之一。以烏云、漏洞盒子為代表的白帽子社區均是國家信息安全漏洞共享平臺的合作方。而漏洞盒子更是打著由國家計算機網絡應急技術處理協調中心，聯合國內重要信息系統單位、基礎電信運營商、網絡安全廠商、軟件廠商和互聯網企業建立的信息安全漏洞信息共享知識庫的牌子。

作為白帽子社區，一直都是以找出漏洞，完善互聯網安全為宗旨。因此烏云在自家網站當中多次公開互聯網廠商漏洞，比如如家酒店等開房信息泄露、13萬條鐵路售票網站網站12306用戶數據泄露、騰訊7000萬QQ群用戶數據泄露等一系列曾經轟動社會的泄漏事件，均最早在烏云網上由白帽子報告并引起平臺方的重視。

最近又有關于30多省市艾滋患者實名信息疑泄露的事件，據悉，烏云網在今年5月就有一條關于“北京疾控中心管理系統命令執行（大量敏感信息泄露/各大醫院）”的報告。

對于白帽子社區找到的網絡安全漏洞，有的廠商并不是很買單。

例如在在去年，烏云公開了世紀佳緣網站存在的嚴重會員信息漏洞。但世紀佳緣在修復之后報警，稱“有4000余條實名注冊信息被不法竊取”，報告者袁煒隨即被相關部門以涉嫌“非法獲取計算機系統數據犯罪”逮捕。

一時之間世紀佳緣成為眾多白帽子攻擊的目標，也有網友認為世紀佳緣頗有一種恩將仇報的感覺。

但是對此世紀佳緣解釋到，他們的安全團隊一直在分析漏洞攻擊者的行為是否惡意。他們認為，涉及到900多條有效數據被獲取，已經完全超過了常規白帽子測試的范圍，通常情況下，白帽子只需要獲取少量數據甚至不獲取數據都能夠證明網站的漏洞，在無法百分百確定獲取者意圖的情況下，為了保護信息安全，公司最終還是決定報警。

而在選擇報警之前，因為存在來自國內不同地區IP地址的攻擊，世紀佳緣并未將漏洞提交者和事發當晚的其他攻擊者聯系到一起。

通過“袁煒事件”，很多白帽子也第一次知道了一個臨界點。按照我國法律規定，構成非法侵入計算機信息系統罪的認定標準中，有一條是獲取身份認證信息500組以上。從這一標準來看，袁煒獲取了超過900條有效數據，或許是檢方批捕袁煒的主要原因。

在不久前的第四屆網絡安全大會上，袁煒的父親發出公開信為兒子鳴冤，讓袁煒的遭遇成為網絡安全圈的熱門事件，也引起了外界對于白帽子社區、群體的關注，引發了關于“白帽子”黑客行為邊界的大討論。

白帽子的法律邊界在哪里

目前關于白帽子法律界限的看法業內不盡相同，爭議時起。包括在上周五舉行的烏云白帽大會上，來自法律、安全、公安、互聯網公司、電子取證、漏洞收集平臺、白帽子、媒體等8位不同領域的專家也對此各持己見，同時也關于世紀佳緣事件涉及的相關法律問題進行了深入探討。

白帽子在漏洞測試時，需要涉及到其法律的邊界在哪里？對此趙占領律師在會議上進行詳細的解釋，稱這可能涉及到刑法的幾個罪名。

1.非法侵入計算機系統罪。這個是有要求的，被入侵對象必須是國家事務或國防系統。但一般情況下，如果不是政府網站的話，這個白帽子一般不會涉及。

2.非法獲取計算機信息數據罪。這個罪名成立需要條件，即必須要有入侵，通過其他方法獲取數據，而且情節嚴重。

這個“情節嚴重”也是有具體規定，包括幾種情況，一種是金融機構的金融身份認證信息，是在十組以上，其他的身份認證信息是在500組以上；或者是非法控制計算機系統，這個前提是要有控制行為存在，20臺以上；還有一個是造成經濟損失的，具體有一個數額。

3.破壞計算機信息系統罪。即對于計算機的程序有增加、刪除、修改、干擾，或者是對數據有相應的刪除行為。

4.使用或者傳播計算機病毒等破壞性程序，并造成影響。

因此，律師將此前的“袁煒事件”定性為非法獲取計算機信息系統數據。同時他告誡一些白帽子們，如果從規避自身風險的角度來講盡量不要觸碰一些身份認證信息，所謂身份認證信息，包括帳號、密碼、口令、數字證書等。

另外，就是很多檢測工具在檢測過程中，可能會涉及到自動緩存數據的問題。或許有的白帽子并不愿意獲取這個數據，但是檢測過程中，工具有可能把數據存儲在電腦上。這個情況下，它屬不屬于非法獲取數據，現在也沒有類似的案例可以參考，也不確定目前公安部門和司法機構的態度和做法。

烏云創始人方小頓在關于漏洞披露的問題上，提出了一個關鍵詞：用戶意愿。他表示當外界和業內人士在探討漏洞時，卻忽略了最重要的用戶的意愿和態度。用戶對自己數據的安全性是否要有知情權？要如何更好的保護好用戶的數據？相比于企業，用戶往往是弱勢的。

他表示希望國家可以出臺明確的法律，而這些相關法律能更多考慮到企業考慮到企業的用戶，甚至考慮到白帽子這個群體本身。

中科院軟件研究所研究員，中國電子學會計算機取證專委會主任委員，公安部三局特聘專家丁麗萍直言稱，大量數據泄露，會造成國家財產，人民利益的損失，建議烏云跟法律授權的機構提供合作，可以提供關于漏洞披露的建議。烏云可以獲得合法授權來做披露之后，公安部也應有一個信息披露中心，雙方可以在漏洞披露上達成雙贏。

白帽子被看做是游走在黑客和正義之間的特殊職業，對于這個職業的合法性也是爭議不止。

騰訊玄武實驗室負責人于旸向我們展現了一個事實，即不管是中國，還是外國，很多的公司都建立了自己的漏洞獎勵計劃，鼓勵大家對自己的網站做安全測試，而且還會給予一定的獎金。Facebook、AT&T公司，甚至是一些傳統的企業也都推出漏洞獎勵計劃。

到了今天全世界對于漏洞披露都有一個共識，那就是“要披露”，尤其在美國是非常清晰的，他們認為漏洞披露是言論自由一部分，受憲法的修正案保護，從法律角度，無論什么時候、怎么披露都是合法的。

這些企業與白帽子的合作，實質上是借助整個互聯網上這些技術人員的力量促使企業更安全的進步。但中國眾多廠商更希望可以出臺明確的規范，白帽子在幫助廠商提高安全能力外，盡量避免觸碰用戶數據。

白帽子因為職業的特殊性，一直游走在法律的邊界。不可否認的是，這些白帽子們的出現確實幫助了很多企業彌補了很多系統漏洞。但是漏洞披露機制給整個行業帶來的價值，對全社會安全意識的影響，是利大于弊還是弊大于利，每個行業每個人都有不同的答案，希望這樣的群體可以在正確的道路上越走越遠。