在 GitHub 发布这家公司漏洞，警察找上门！

吃到了一个网络安全领域的瓜：

根据聊天记录透露的信息，事情大概是这样：

一个挖洞的白帽子，挖到了一家公司的沙箱的漏洞，可以实现沙箱逃逸。

（这里插一句：沙箱是网络安全领域分析恶意样本文件的主流软件技术，通过将样本放置于沙箱的虚拟环境中运行，观测其动态行为表现，来综合分析样本是不是恶意软件）

这家公司是安全圈有名的公司，前段时间还因为开发监控员工离职倾向分析的功能上过热搜。

据白帽子的自述，他挖到这个漏洞之后，报给了这家公司的安全响应中心SRC。

这家公司的员工答复他说可以给他2万奖金，但等他提交之后，对方不认账了，以一些理由推脱说这是正常功能设定，不算是漏洞，之前承诺的2万块钱没了。

得到这个答复的白帽子，一下就怒了。在交涉无果之后，选择了将漏洞信息发布在了GitHub上。

然鹅，很快，这家安全公司就选择了报警，警察叔叔很快就找到了这位白帽子。

以上就是白帽子自述整件事的大致经过。

在吃到瓜的几个小时之后，这位白帽子的Github链接已经404了，办事效率真不错。

这位白帽子很是郁闷，我辛辛苦苦挖的漏洞，你前后态度截然不同，说过的钱不给也就罢了，既然你们不承认是漏洞，那我发到GitHub上后，为啥又报警说我把漏洞信息发布到境外平台？这不是自相矛盾吗？

想告诉大家，白帽子们为了自身安全着想，还是把目光投向国外吧。去挖微软、苹果、谷歌、Adobe、Oracle的漏洞，哪个不是既有钱又有面儿？挣美刀不香吗？何必过的胆战心惊的，天天担心被送温暖。

不过话说回来，如果以后国内白帽子都不敢去挖国内公司的漏洞了，这对国内的网络安全也是一种看不到的伤害。

你管得到里面的人，但管不了外面的人，人家挖到可能就不是贪图你那三瓜俩枣的了，说不定会带来更大的损失和更严重的后果。

乌云倒下之后，漏洞就变少了吗？

不过也有人反应，说是勒索不成才变成这样的，真相如何不得而知。

对于这件事，大家怎么看？

- EOF -

关注「程序员的那些事」加星标，不错过圈内事

点赞和在看就是最大的支持❤️