应携程安全强烈要求,关于成员Doggy处理公告!

admin 2020年12月30日14:09:50评论291 views字数 2498阅读8分19秒阅读模式

年底了,各大SRC平台的年终颁奖、答谢都纷纷而来,在各家欢喜的过程中给大家再讲一个严肃且搞笑的事情,发一个正式且娱乐的官方告知函,回应且满足携程安全应急响应中心对网络尖刀团队提出的这项诉求。


之前发布了《网络尖刀团队关于终止携程SRC漏洞合作公开声明》,算是与携程SRC的合作就此告一段落,因为此事和凌云也有一些沟通(之前他离开携程,但是不知道他又回来)所以认为携程也确实没哪个值得沟通的了,才直接发了该公告,但是他找来的时候我们已经发布了公告和执行了处理方案,这事情已经我们肯定不会直接更改了。


对于携程的“终止合作”我们确实没有专人监督严格履行,但是围绕“白帽自律委员”对漏洞评级的投票,我们多少也和很多SRC有过互动,内部也进行了有序的推进,自认为为这个行业也解决了一些不必要的麻烦,推动着“合规化”的增长。


关于Doggy

今天团队成员Doggy找来沟通,因之前我们只是发了公众号他没太留意,自己对团队的认知也还不够,在加入了网络尖刀团队后,在京东平台确实以网络尖刀团队来提交漏洞,但是在滴滴安全则在白帽一百少先队的队伍,而在携程他确实在我们发布公告后,仍然提交了多个高危漏洞至携程SRC,并且取得了携程安全应急响应中心2020年年度第一的成绩。


应携程安全强烈要求,关于成员Doggy处理公告!


本来是个好事情,网络尖刀终止合作后,成员对规则没有第一时间知情,自己理解也不到位仍然将发现的安全风险提交到携程,我们这边也确实这段时间很忙,监督没到位没有在关注这方面的增长,但这个小伙子今天收到了携程SRC官方运营人员的官方要求。


要求其必须证明自己不是“网络尖刀成员”,或者已因此事被网络尖刀团队除名,暗示其如果不这样做,将拿不到属于他个人的那份“年终奖励”。


应携程安全强烈要求,关于成员Doggy处理公告!

该运营人员在聊天过程中多次以“引导”、“误导”、“诱导”的方式,想方设法让其承认自己是“网络尖刀成员”,以达到自己内心不知何意的用途。


应携程安全强烈要求,关于成员Doggy处理公告!

应携程安全强烈要求,关于成员Doggy处理公告!

应携程安全强烈要求,关于成员Doggy处理公告!

应携程安全强烈要求,关于成员Doggy处理公告!

应携程安全强烈要求,关于成员Doggy处理公告!

聊天记录太长,看到这里大家基本都能看懂吧?但我想强调一件事,携程SRC并没有团队功能!其实这个白帽子的身份是哪个团队,在携程SRC上基本没用!也正是这样我们才在终止合作后并未执行任何全员逐个告知“退队”的相关举措。


是否为尖刀成员?


加入网络尖刀的成员都是有考核期的,之前申请加入我们的成员以及一些没通过的小伙伴也都清楚这件事儿,单指Doggy的身份算是进入我们考核期的S小队团队成员,这是在官网成员公示查询不到他ID的原因。


但是以他的活跃度、贡献量、技术增长等指标,确实是满足成为我们团队的正式成员的标准,是我们到了年底事情堆积太多,团队管理人员没有及时与其更新身份来处理这些事。


在发生这件事之前,我甚至还没有单独加Doggy的微信好友,平时都是在S小队的小群里大家闲聊,并没有和他单独沟通过团队的相关事情。


但没什么所谓打脸!不打脸!脸疼不疼的!大大方方的告知各位,Doggy确实是网络尖刀S小队的团队成员!


后续处理


之前的终止合作声明中我交代了关于团队与携程终止合作后关于漏洞的一些处理,但是确实没有提及关于团队成员如果违反此规则后如何处置,同时由于携程SRC没有团队功能,所以我们也就没有逐一沟通进行“退队”等相关后续处理。


Doggy在不知情对问题认知模糊的情况下,踩了这个“粪坑”网络尖刀的运营团队该为此承担主要责任。


所以对于Doggy,虽然违反了团队规定,但因之前没有发布相关处理的惩戒措施,所以在团队的去留取决于自身的选择,无论最终的结果是如何网络尖刀都表示尊重,也感激过去对网络尖刀团队做出的种种贡献。


如若携程SRC坚定认为,其必须离开网络尖刀才可以被你们认可他这一年多来对携程SRC的贡献,以此达到你们内心“阴暗”的那些诉求,那就如你们的意好了!


网络尖刀不会盲目的为了团队利益伤害到成员个体!


携程尊重安全?



从网络尖刀团队来讲,我们永远感谢并感激Doggy坚守了白帽准则,发现其安全风险仍第一时间提交到携程,减少其企业产生风险用户信息被侵害的可能,每一个这样的信息安全从业者都是在为保护广大互联网网民在付出,在为信息安全行业推动做出贡献,他们是永远值得被尊重的!!!


这几年无论从携程信用卡泄露、用户信息泄露、网民遭遇诈骗财产频繁受到损失,再到这几年网络尖刀的成员在合作的过程中与其安全部门在漏洞认定上出现的总总摩擦,在我心里携程安全部门从根上就不是一个真正“认真对待安全”、“尊重用户”、“尊重网民”的企业组织。


也正是这样,才会有了之前漏洞审核:

哪怕你这个弱口令把携程干倒闭了 也是按照弱口令这个给钱的.....这个是规则...

携程SRC漏洞审核

今天你必须证明你不是网络尖刀成员,我们才认可你的成果的,各种雷人语句!这回就不要再给我讲是离职员工了行吗???


左边各种会议、PR稿件高喊“我们非常重视安全”,右边“连最低级的弱口令”这种低级错误都持续在公司内部出现,白帽子提出问题的时候第一时间考虑的不是心存感激,而是用一些高危恶评中低危,中低危直接忽略非常手段的非常门槛,来拒绝认可白帽子的工作成果,这样的安全部门造成之前的任何一个轰动互联网的安全事件,确实都不意外!


写在最后


没有哪个企业家生来就为了作恶的,企业有蛀虫就要拔,从根上狠狠的下手打农药去也得拔,今天我是一个信息安全从业者,但也是一个普通的网民,曾经的携程用户,有着这样价值观不正风气的安全部门凭什么让我们相信这家企业可信?拿什么保护我们的数据安全呢?


转吧,受到伤害的白帽子别藏着掖着了,不然就社交媒体直接私聊、艾特集团高管,同时身边的创业朋友,如有旅游行业与梁建章先生及孙洁女士有交集的,烦请引荐一下,我想他们应该需要这些声音。


携程安全部门给Doggy的“最后通牒”是下午三点,那这篇文章我就发在两点好了!给你们充足的时间思考,写正向的感谢信就跟流水线一样太容易了,但是写点黑公关PR搞,强行的颠倒是非黑白,把死人说活了、黑的说成白的、还要表达出自己好像真的是“正义”的,的的确确需要特别严谨的措辞时间。


应携程安全强烈要求,关于成员Doggy处理公告!


每一个为信息安全行业做出贡献,熬夜、吃土、挖掘漏洞上报给厂商SRC的白帽子,都值得被互联网尊重!!


应携程安全强烈要求,关于成员Doggy处理公告!


本文始发于微信公众号(网络尖刀):应携程安全强烈要求,关于成员Doggy处理公告!

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年12月30日14:09:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应携程安全强烈要求,关于成员Doggy处理公告!http://cn-sec.com/archives/226492.html

发表评论

匿名网友 填写信息