作者:
QCANCER (琉璃螃蟹)
2019-01-19 14:56:37※ 引述《boss88893 (自由人)》之銘言:
: 台灣有家公司專門去找公司網站漏洞,然後會發e-mail到公司,告訴你
: 你的網站有漏洞,如果你不處理,就會把漏洞公佈在網路上,讓大家知道
: 然後他們還會在網站上介紹,他們公司有做防漏洞的服務
: https://zeroday.hitcon.org/vulnerability/all
: 今天你逛街時,看到大安區有戶住家大門鎖壞了,然後說限屋主快處理不然要公佈街坊
: 鄰居都知道? 搞不好小偷也通知?
: 不知道這樣行為是否合理?
舉例失當
因為所謂資安牽扯的不是個人或是一家的事
資訊安全是公共問題
當一個公用網站有漏洞, 影響的層面是全部的使用者
最大的可能甚至會是與使用者有相連的所有設備
: 我是覺得,你發現人家大門沒關壞了,應該打110或跟屋主說就好,
: 怎麼會是反過來說不處理就公佈? 讓全世界都知道你家門壞了沒鎖?
所以舉例上比較像是疫情通報
例如某養豬場, 然後被查到有豬瘟
你說要不要通告與公佈 ??
: 查了一下,這公司還蠻多報導,感覺很正義? 實際上 道德?
: https://www.bnext.com.tw/article/47673/cycarrier
: 我是覺得發現安全問題通知當事人就好,但不要上網公佈,因為你上網公佈不就等於
: 恐嚇? 然後再說歡迎買我們服務?
: 反正從頭到尾就是一直叫你跟他們公司聯絡,並說可升級VIP帳號
: 以下真人真事
: ====================================================================
: 我們是 HITCON ZeroDay 漏洞通報平台,為社團法人台灣駭客協會所籌組之公益計畫
: ,協助企業進行資安漏洞之通報。
: 漏洞 XXXXX 已公開於以下網址:
: 漏洞公開網址:https://zeroday.hitcon.org
: 若對該漏洞有任何問題歡迎於漏洞頁面留言或直接與我們聯繫。
: 感謝您於此次通報處理期間的配合。
: HITCON ZeroDay 團隊
: 基於平台之規範,一定時間後漏洞詳細內容便會公開,提醒您盡快修補。
: 若貴單位希望可以更快速直接的接收漏洞及與通報者溝通,歡迎免費升級
: ZeroDay 企業帳號 https://zeroday.hitcon.org/about/vp
: ZeroDay 的通報及複檢等服務均無需費用,故若您仍有其他疑問,都歡迎隨時與
: 我們連絡。
在我看來, 這根本佛心好嗎?
掃弱洞的軟體要錢, 而且不是買斷是按年算的
有人幫你掃,告知漏洞, 讓你有機會可以自己修
這不是佛心是什麼?