无聊死了,大半夜的吃瓜,网传,深信服一白帽员工因向 Github 提交漏洞,被叫到派出所问话。
深信服你知道是啥吗?
就是好多公司在用的监控你上班在干啥的,造吗?
事情的原因还是因为钱闹的?
吐槽原文
我做梦都想不到,今天我居然被叫到了辖区分局原因,居然是贵公司说我把漏洞公开在境外平台。
在此次事件之前,贵公司之前口口声声说这是业务正常功能设计,这个时候报案为什么要说是漏洞了?
你是一开始抱着想吃掉我的漏洞发现不成就要报警?这不是明摆着欺负人?还说什么 Github 是境外平台。
那我冒昧问一下既然一口要死是境外平台为什么国家还让大家访问这个站点?
为什么深信服要使用 Github 的代码?
为什么国内优秀的厂商在上面开源自己的知识?
是不是所有的使用 Github 平台的人都是在卖国?
真是滑天下之大稽。
我在5月13号说明了漏洞的情况,以及利用条件,他当初给我的答复就是可以给2W奖金让我先提交到后台。
5月18号提交之后说要等三天三天之后再问,就是一句这是正常功能设计不认可这是漏洞,我不接受。
让他给我一个合理的解释说服,自己给不出,然后申请仲裁无果就不再回复我了。
现在就直接给我报警了,我真是开眼了!
贵公司现在这样的行为跟当初世纪佳缘的行为有什么区别?
免费收漏洞不成就要报警抓!我这个白帽子这手段可真是高啊!
今天去了分局,跟警察同志说明情况后,警察同志对我的行为表示理解和认可,但是这个事这绝对不会到此结束,我会把你们的行径公开,让大家都来看看来评评理。
深信服一个这么大的公司是怎么欺压一个普通白帽子的。
官方回复
大家好,首先,我们公司一直都有在对接处理,也很尊重平台的每一位白帽子。
IDxxx 提出的问题,前前后后经历了评估、仲裁、再次评估等多轮的少则10多天,多则半个月一个月的过程。
我们最终给出反馈,自认为是公平公正的,本次提交被拒绝漏洞,原因是攻击前提是需要管理员提前配置指定进程 hash 和进程信息,属于特定场景下的正常功能。
我们工作人员并没有在没看到漏洞详情的时候承诺奖金,也一直是友好耐心地解释奖金范围。
研发人员也经常在提供的不完整的信息里加班加点验证,一是尊重提交者,二是尊重我们的广大客户,绝不敢有纰漏。
因为所有平台都是要求先提交详情,再评估给奖金,这是行业常识,我们也不想因为个例就破坏行业的共识。
为什么报警?
是因为之前有公布我们的其他漏洞,这个行为给我们的很多客户带来了非常不必要的麻烦。
然后以此作为谈价格的筹码,这个行为我们无法认可,相信群内的所有人都无法认可,也破坏了广大白帽子权益的。
报警主要是真的出于对我们客户利益的保护,很担心后面又有什么非法的行为,为我们的客户带来真的损失就已经为时已晚。
最后我想发起一个小调研,有多少对我们 SRC 不满意的,有多少对我们 SRC 满意的?
对接过的各位,我认为是最有发言权的。
工作不到位的地方我们会虚心接受建议并改正,给大家一个更好的体验,也谢谢大家长期以来的支持。
309
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
