在GitHub發(fā)布這家公司漏洞，警察找上門！

大家好，我是小白鴿。

今天我吃到了一個網(wǎng)絡(luò)安全領(lǐng)域的瓜：

根據(jù)聊天記錄透露的信息，事情大概是這樣：

一個挖洞的白帽子，挖到了一家公司的沙箱的漏洞，可以實現(xiàn)沙箱逃逸。

（這里插一句：沙箱是網(wǎng)絡(luò)安全領(lǐng)域分析惡意樣本文件的主流軟件技術(shù)，通過將樣本放置于沙箱的虛擬環(huán)境中運行，觀測其動態(tài)行為表現(xiàn)，來綜合分析樣本是不是惡意軟件）

這家公司是安全圈有名的公司，前段時間還因為開發(fā)監(jiān)控員工離職傾向分析的功能上過熱搜。

據(jù)白帽子的自述，他挖到這個漏洞之后，報給了這家公司的安全響應(yīng)中心SRC。

這家公司的員工答復(fù)他說可以給他2萬獎金，但等他提交之后，對方不認賬了，以一些理由推脫說這是正常功能設(shè)定，不算是漏洞，之前承諾的2萬塊錢沒了。

得到這個答復(fù)的白帽子，一下就怒了。在交涉無果之后，選擇了將漏洞信息發(fā)布在了GitHub上。

然鵝，很快，這家安全公司就選擇了報警，警察叔叔很快就找到了這位白帽子。

以上就是白帽子自述整件事的大致經(jīng)過。

在吃到瓜的幾個小時之后，這位白帽子的Github鏈接已經(jīng)404了，辦事效率真不錯。

這位白帽子很是郁悶，我辛辛苦苦挖的漏洞，你前后態(tài)度截然不同，說過的錢不給也就罷了，既然你們不承認是漏洞，那我發(fā)到GitHub上后，為啥又報警說我把漏洞信息發(fā)布到境外平臺？這不是自相矛盾嗎？

小白鴿想告訴大家，白帽子們?yōu)榱俗陨戆踩耄€是把目光投向國外吧。去挖微軟、蘋果、谷歌、Adobe、Oracle的漏洞，哪個不是既有錢又有面兒？掙美刀不香嗎？何必過的膽戰(zhàn)心驚的，天天擔心被送溫暖。

不過話說回來，如果以后國內(nèi)白帽子都不敢去挖國內(nèi)公司的漏洞了，這對國內(nèi)的網(wǎng)絡(luò)安全也是一種看不到的傷害。

你管得到里面的人，但管不了外面的人，人家挖到可能就不是貪圖你那三瓜倆棗的了，說不定會帶來更大的損失和更嚴重的后果。

烏云倒下之后，漏洞就變少了嗎？

不過也有人反應(yīng)，說是勒索不成才變成這樣的，真相如何不得而知。

對于這件事，大家怎么看？

推薦閱讀

• 成為一個黑客，按照這個路線來！

• 那個釣魚郵件又來了，這次干他！

• 黑客要攻下一臺計算機，一般怎么做？