文章摘要
作者在潜水旅行中发现某知名潜水保险公司的会员门户存在严重漏洞,并于2025年4月28日按标准流程提交漏洞报告。然而对方并未积极修复漏洞,反而聘请律师应对,凸显了企业面对安全漏洞时责任披露与法律威胁之间的矛盾。(99字)
文章总结
标题:我发现了一个漏洞,他们找来了律师
作者:Yannick Dixken
发布日期:2026年2月1日
原文链接:https://dixken.de/blog/i-found-a-vulnerability-they-found-a-lawyer
核心内容概述
双重身份引发的发现
作者既是潜水教练,也是平台安全工程师。在哥斯达黎加科科斯岛为期14天的潜水旅行中,他意外发现所投保的某大型潜水保险机构会员门户存在重大安全漏洞。
漏洞详情
1. 致命组合
- 系统使用连续数字作为用户ID(如XXXXXX0, XXXXXX1)
- 所有账户使用相同的初始默认密码且未强制修改
- 无登录尝试限制或多因素认证
- 数据暴露范围
通过简单猜测即可访问包含以下信息的完整用户档案:- 姓名、地址、电话号码、邮箱
- 出生日期(含2011年出生的未成年人)
- 紧急联系人等敏感信息
负责任的披露过程
- 2025年4月28日通过加密方式向机构及马耳他CSIRT报告(符合该国漏洞披露政策)
- 给予30天修复期(至5月28日)
- 提供概念验证代码(使用Selenium模拟浏览器操作)
- 确认修复后等待8个月才公开事件,以确保用户通知
机构的争议性回应
1. 法律威胁
- 指责作者"可能触犯马耳他刑法第337E条(计算机滥用)"
- 要求签署保密声明(含护照ID提交要求)
- 声称"用户应自行修改默认密码"
- GDPR合规问题
根据欧盟《通用数据保护条例》:- 机构作为数据控制者应确保适当安全措施(第5/24条)
- 高风险数据泄露需通知监管机构和受影响用户(第33/34条)
- 作者未获知用户是否被通知
行业普遍问题
- 安全研究人员常面临"寒蝉效应"(Chilling Effect)
- 机构更关注声誉而非数据保护
- 漏洞本身不是问题,应对方式才是关键
建设性建议
对机构:
- 制定漏洞披露政策(如security.txt)
- 感谢而非威胁研究人员
- 明确数据控制者责任
对研究者: - 联系国家CSIRT备案 - 完整记录沟通过程 - 拒绝限制披露过程的NDA
关键数据摘要
| 项目 | 详情 | |------|------| | 漏洞类型 | 默认密码+ID枚举 | | 影响账户 | 含未成年人 | | 披露时间线 | 30天修复期+8个月延迟公开 | | 法律依据引用 | 马耳他刑法第337E条、GDPR第5/24/33/34条 |
(注:文中所有具体ID、密码样例及机构名称均按原文要求隐去)
评论总结
以下是评论内容的总结:
主要观点和论据
企业安全实践与现实的脱节
- 评论1(xvxvx)指出,企业领导层常忽视安全问题,甚至压制内部报告,导致漏洞长期存在。
引用:"My education, training and experience tells me one thing: identify, notify, fix. Then when I bring it to leadership, their agenda is to take these conversations offline."
引用:"Anytime I see an article about a data breach, I wonder how long these vulnerabilities were known and ignored."
- 评论1(xvxvx)指出,企业领导层常忽视安全问题,甚至压制内部报告,导致漏洞长期存在。
公开漏洞报告的必要性与风险
- 评论2(refulgentis)和评论15(josefritzishere)支持公开漏洞报告,认为企业的不当反应证明了“点名批评”的合理性。
引用:"Due to B), there's a strong responsibility rationale. Due to rest, there's a strong name and shame rationale."
引用:"Their reaction all but confirms that reporting it to them directly would not have been productive."
- 评论2(refulgentis)和评论15(josefritzishere)支持公开漏洞报告,认为企业的不当反应证明了“点名批评”的合理性。
法律威胁与自我保护
- 评论3(vaylian)和评论16(paxys)建议避免签署任何文件或继续沟通,认为企业更关注控制而非合作。
引用:"Why sign anything at all? The company was obviously not interested in cooperation, but in domination."
引用:"The only sensible approach here would have been to cease all correspondence after their very first email/threat."
- 评论3(vaylian)和评论16(paxys)建议避免签署任何文件或继续沟通,认为企业更关注控制而非合作。
建立第三方报告机制
- 评论4(desireco42)和评论17(janalsncm)提议设立国家级的网络安全机构,负责处理漏洞报告并保护研究者。
引用:"Each country should have a reporting authority and it should be the one to deal with security issues."
引用:"If a website can require my real PII, I should be able to require that PII is secure."
- 评论4(desireco42)和评论17(janalsncm)提议设立国家级的网络安全机构,负责处理漏洞报告并保护研究者。
技术漏洞的普遍性与责任
- 评论11(undebuggable)和评论13(FurryEnjoyer)指出许多系统存在低级漏洞,但开发者和管理层缺乏重视。
引用:"I failed countless job interviews for mistakes much less serious than that. Yet someone gets the job while making worse mistakes."
引用:"Nobody cares about them and people that make those systems don't have enough skill to do it right."
- 评论11(undebuggable)和评论13(FurryEnjoyer)指出许多系统存在低级漏洞,但开发者和管理层缺乏重视。
法律与保险的影响
- 评论12(cptskippy)解释企业可能因漏洞披露面临保险问题,导致其采取攻击性法律手段。
引用:"vulnerability disclosure potentially exposes companies to insurance fraud."
- 评论12(cptskippy)解释企业可能因漏洞披露面临保险问题,导致其采取攻击性法律手段。
文化差异与风险规避
- 评论14(cynicalsecurity)认为个人不应单独对抗企业,避免法律纠纷。
引用:"Unless your ass is covered by some big and influential organisation; never fight on your own."
- 评论14(cynicalsecurity)认为个人不应单独对抗企业,避免法律纠纷。
不同观点的平衡性
- 支持公开报告:评论2、15强调企业责任和公众知情权。
- 反对对抗性做法:评论14、16建议避免法律风险。
- 系统性解决方案:评论4、17呼吁建立第三方机制。
简洁表达
评论主要围绕企业安全漏洞的披露、法律风险及系统性改进展开,支持者认为公开是必要手段,反对者强调自我保护,多数人呼吁建立更完善的报告和保护机制。