员工向Github提交漏洞被叫到派出所?深信服回应

投递人 itwriter 发布于 2022-06-21 10:20 评论(0) 有1931人阅读 原文链接 [收藏] « »

  近日,网传深信服一白帽员工因向 Github 提交漏洞被叫到派出所问话的消息引发网友热议。

  昨日,深信服相关人员回应称,工作人员并没有在没看到漏洞详情的时候承诺奖金,报警是因为该员工之前有公布企业的其他漏洞,这个行为给很多客户带来了非常不必要的麻烦。

  以下为回复原文:

  大家好,首先,我们公司一直都有在对接处理,也很尊重平台的每一位白帽子,IDxxx 提出的问题,前前后后经历了评估、仲裁、再次评估等多轮的少则 10 多天,多则半个月一个月的过程,我们最终给出反馈,自认为是公平公正的,本次提交被拒绝漏洞,原因是攻击前提是需要管理员提前配置指定进程 hash 和进程信息,属于特定场景下的正常功能。

  我们工作人员并没有在没看到漏洞详情的时候承诺奖金,也一直是友好耐心地解释奖金范围。研发人员也经常在提供的不完整的信息里加班加点验证,一是尊重提交者,二是尊重我们的广大客户,绝不敢有纰漏。因为所有平台都是要求先提交详情,再评估给奖金,这是行业常识,我们也不想因为个例就破坏行业的共识。

  为什么报警?是因为之前有公布我们的其他漏洞,这个行为给我们的很多客户带来了非常不必要的麻烦。然后以此作为谈价格的筹码,这个行为我们无法认可,相信群内的所有人都无法认可,也破坏了广大白帽子权益的。报警主要是真的出于对我们客户利益的保护,很担心后面又有什么非法的行为,为我们的客户带来真的损失就已经为时已晚。

  最后我想发起一个小调研,有多少对我们 SRC 不满意的,有多少对我们 SRC 满意的?

  对接过的各位,我认为是最有发言权的。工作不到位的地方我们会虚心接受建议并改正,给大家一个更好的体验,也谢谢大家长期以来的支持。

  吃瓜多一点:

  以下为该员工吐槽原文:

  我做梦都想不到,今天我居然被叫到了辖区分局原因,居然是贵公司说我把漏洞公开在境外平台。在此次事件之前,贵公司之前口口声声说这是业务正常功能设计,这个时候报案为什么要说是漏洞了?

  你是一开始抱着想吃掉我的漏洞发现不成就要报警?这不是明摆着欺负人?还说什么 Github 是境外平台。那我冒昧问一下既然一口要死是境外平台为什么国家还让大家访问这个站点?为什么深信服要使用 github 的代码?为什么国内优秀的厂商在上面开源自己的知识。是不是所有的使用 Github 平台的人都是在卖国?真是滑天下之大稽。

  我在 5 月 13 号说明了漏洞的情况,以及利用条件,他当初给我的答复就是可以给 2W 奖金让我先提交到后台。5 月 18 号提交之后说要等三天三天之后再问,就是一句这是正常功能设计不认可这是漏洞,我不接受。让他给我一个合理的解释说服。自己给不出,然后申请仲裁无果就不再回复我了。现在就直接给我报警了,我真是开眼了!贵公司现在这样的行为跟当初世纪佳缘的行为有什么区别?免费收漏洞不成就要报警抓!我这个白帽子这手段可真是高啊!今天去了分局,跟警察同志说明情况后,警察同志对我的行为表示理解和认可,但是这个事这绝对不会到此结束,我会把你们的行径公开,让大家都来看看来评评理。深信服一个这么大的公司是怎么欺压一个普通白帽子的。

posted on 2022-06-22 11:53  漫思  阅读(115)  评论(0编辑  收藏  举报

导航