首页 > 安全 > 网络安全 >

他利用淘宝漏洞攫取1300万,但在白帽黑客眼里“漏洞”代表荣耀战场

2017-03-20

他利用淘宝漏洞攫取1300万,但在白帽黑客眼里“漏洞”代表荣耀战场。就像人会说错话,打错字一样,从系统Bug到APP漏洞,从普通人到安全领域的工作者,对待漏洞的态度都在一念之间。有人因此锒铛入狱,但在有的人眼里,比如白帽黑客,漏洞致谢榜才是荣耀赛场。

他利用淘宝漏洞攫取1300万,但在白帽黑客眼里“漏洞”代表荣耀战场。就像人会说错话,打错字一样,从系统Bug到APP漏洞,从普通人到安全领域的工作者,对待漏洞的态度都在一念之间。有人因此锒铛入狱,但在有的人眼里,比如白帽黑客,漏洞致谢榜才是荣耀赛场。

\

“有一次看到可以购买优惠会员卡,我就给一个客户送会员卡,点击购买显示赠送成功,钱被划扣,但客户说没有收到会员卡,我的支付宝被扣了120元。我又买了一个会员课,客户同样没有收到,我的支付宝钱被扣了。过了几天我发现,支付宝里没钱了。我在余额不足的情况下再买发现,淘宝网不仅没有扣钱,反而还退钱给我。”

\

男子利用淘宝漏洞盗走1300万

20岁的贵州男子胡安,初中文化,非常迷恋网络,一次偶然的机会发现淘宝网有漏洞,买东西时只要账户余额不足,淘宝会退钱,于是他在5个月里,10万余次故意制造余额不足的情况,从网上偷走了1300余万元。

而案件引发关注的,似乎不是什么漏洞,而是这笔钱,除消费挥霍外,他拿出四五百万打赏网络直播的女主播,最多的一次,给了女主播8万元。

“靠,居然有这么低级的漏洞,我咋没遇到。”事发后,许多网友留言调侃。

天下没有完美的事物,软件开发者的疏忽,或者是编程语言的局限性,比如c语言家族比java效率高但漏洞也多,电脑系统几乎就是用c语言编的,所以常常要打补丁。

科技领域从来就不缺乏漏洞,缺的是面对漏洞的态度与做法。“安在”曾以“360悬赏200万邀黑客找茬”为题,报道了360解决漏洞的态度。

\

360SRC悬赏200万找漏洞

“排斥和掩盖安全问题,只会带来更大的风险”,360董事长周鸿祎的话掷地有声,任何产品都会出现漏洞,企业只有向安全社区开放合作,才能及时消除隐患,把用户的风险降到最低。

新年伊始,各大厂商的SRC纷纷加大对白帽子的漏洞报告奖励,力度空前。

2月23日,360SRC(安全应急响应中心)宣布,今年将投入超过200万奖金悬赏白帽黑客为360产品找漏洞,奖金数额相比去年提升一倍。并特别推出“IOT安全守护计划”,把最新款产品免费提供给知名黑客团队和安全专家进行测试,如果发现严重漏洞将获得最高36万元的重金奖励。

与此同时,阿里安全应急响应中心(ASRC)在2017年也加大对白帽子的奖励,如果白帽子提交的漏洞或者情报危害足够严重,还会有额外现金奖励2-10万(人民币)。

\

而腾讯安全应急响应中心(TSRC)则对所有报告的高风险及以上的安全问题均在TSRC现有评分规则基础上双倍奖励,符合TSRC即时现金奖励标准的严重安全问题,将额外给予1-50万的即时现金奖励。

3月15日上午,涉嫌盗窃罪的胡安受审。在法庭上,胡安表示认罪,他说发现淘宝网上的漏洞非常偶然,觉得来钱快收不住手了。

面对这些Bug,占小便宜的心态恐怕难以避免,但你真把它当做一件可以“发家致富”的行为时,恐怕已经触犯了法律的红线。

\

有些便宜跨越了法律的红线

而在网络攻击的世界,漏洞系统Bug等同硬通货,IOS漏洞的售价一度飚到百万美元,但在白帽黑客眼里,天价悬赏并没有什么吸引力,各大厂商的漏洞致谢榜才是彰显实力的荣耀赛场。

根据各大操作系统和基础软件厂商发布的漏洞致谢公告统计,2016年,中国安全厂商360协助谷歌、微软、苹果、华为、高通、Adobe、WMware以及各虚拟化软件和开源项目发现漏洞408个,成为全球获得致谢次数最多的安全厂商,360也创下一年报告漏洞超过400个的世界记录。

\

对待漏洞的态度全在一念之间

对待漏洞的态度不同,得到的将会是截然相反的结果。

“你用实名认证的支付宝偷钱,这不是正常日子过腻歪了?换我我就给优酷支付宝技术部门打电话,他们可能得给我两万块钱奖励。”有网友显然能预判“贪小便宜”的风险。

胡安在庭审中说,对不起优酷公司,但不后悔,“进入社会前没什么朋友,但自打有钱后,朋友多了,不走动的亲戚也来了,我不后悔。”

2016年曾发生过一个类似的案件,在福建工作的河南男子胡某在使用某银行APP时,发现软件中增添了一个支付功能,只需输入信用卡账号和密码就可以完成支付,不需要提供手机验证码。胡某动起了心思:网上有贩卖银行卡账户、密码信息的,买来一输入,不就可以套现了!

胡某将自己的想法告诉了唐某和刘某,三人一拍即合。他们用对方的账号、密码做了两次试验,发现果然可以支付。随后,3人进行了分工:胡某联系购买银行账户、密码,花钱;唐某和刘某负责制作收款账户的二维码,收钱。而就是这种某银行软件现漏洞直接导致十名客户的信用卡遭盗刷,共损失40余万元。

当然,等待这名胡某的也是逃不掉的牢狱之灾。互联网的便宜很多,但如何对待,全在一念之间。

相关文章
最新文章
热点推荐