世纪佳缘白帽子事件后 黑客又引起了舆论关注

­　　厂商对白帽黑客五味杂陈

­　　针对这一事件，安全媒体“安在”也以研讨会的形式进行了讨论。诺亚财富安全负责人顾全民认为，之前他们也收到过类似白帽提交的漏洞。这本来也是一件好事，但是后来他们企业的安全人员进到后台发现，这位“白帽”黑客做了两件事情，但其告诉企业一件事情。这就让企业与白帽之间很难建立信任关系。

­　　万能钥匙安全负责人、安全专家龚蔚（Goodwell）认为，在整个白帽生态中，企业才是绵羊。龚蔚对白帽生态的发展也提出了相关疑问，如白帽子到底白在哪里、白帽的衡量标准、行为准则、诉求等。

­　　小米云平台安全与隐私部首席安全官陈洋在乌云白帽大会上也表示，从厂商角度看，厂商有很重要的职责来保护用户的数据安全。厂商自身一方面会用各种方法去发现并解决问题，白帽子这么多年在帮助企业发现很多盲点，提升了厂商的安全程度。没有白帽子的支持，企业的安全就会落后很多年。但是，厂商也比较害怕白帽子。白帽黑客一些善意的测试，企业比较欢迎。但有时这些“白帽”的测试，有时会导致数据泄露或破坏。有的黑客甚至有些打着白帽子的旗号，去拖库、交易这些数据。

­　　陈洋认为，企业与白帽黑客之间应该是共同促进的关系。一方面白帽黑客能帮助厂商提高安全，另一方面厂商也可以与黑客做一些精神、物质方面的合作。但对用户的数据产生侵犯，就会触控法律红线。

­　　对于企业代表的顾虑或者质疑，白帽代表九少一一予以回应：白帽发现漏洞的时候，肯定需要去验证这个漏洞是否存在，以及漏洞会造成的危害有多大。所以，它应该有一个用户的数据表。自动化抓取数据表速度是很快的，可能会造成数据有一些下到自己电脑上。从法律上来讲，数据是存在的，但关键看目的，是用来验证这些漏洞，还是做一些其他非法的项目。而且，白帽一般挖到漏洞，是会提交给第三方平台，再由第三方平台去通知厂商，只有少数的白帽会直接联系厂商。

­　　不要低估网警的水平

­　　有的黑客认为其在渗透过程中操作很规范，甚至有人使用多重代理，认为相关部门很难取证。但中科院软件研究所研究员、中国电子学会计算机取证专委会主任委员、公安部三局特聘专家丁丽萍则认为，电子取证的水平已经很高，黑客不能低估网警的水平，不要心存侥幸。

­　　据丁丽萍介绍，对于电子证据，业界已经有共识，认为电子证据是下一代的证据并已经获得认可。符合“三性”（真实性、相关性、合法性）的电子证据能够获得法庭的采用。白帽黑客需要了解警察取证的知识，在测试过程中，可以保留一些能够获得认可的证据，以便能够证明自己的清白。

­　　在2011年底各大平台被拖库事件及斯诺登事件后，网络安全正受到各方的关注。除了用户的隐私，企业安全外，还有国家层面的网络安全。新兴事物的发展要快于法律规范的定制，是一个普遍现象，世纪佳缘袁炜这一事件，无疑在规范网络安全测试行业及黑客的行为中，将成为一个里程碑式的事件。