他利用淘宝漏洞攫取1300万，但在白帽黑客眼里“漏洞”代表荣耀战场

就像人会说错话，打错字一样，从系统Bug到APP漏洞,从普通人到安全领域的工作者，对待漏洞的态度都在一念之间。有人因此锒铛入狱，但在有的人眼里，比如白帽黑客，漏洞致谢榜才是荣耀赛场。

“有一次看到可以购买优惠会员卡，我就给一个客户送会员卡，点击购买显示赠送成功，钱被划扣，但客户说没有收到会员卡，我的支付宝被扣了120元。我又买了一个会员课，客户同样没有收到，我的支付宝钱被扣了。过了几天我发现，支付宝里没钱了。我在余额不足的情况下再买发现，淘宝网不仅没有扣钱，反而还退钱给我。”

男子利用淘宝漏洞盗走1300万

20岁的贵州男子胡安，初中文化，非常迷恋网络，一次偶然的机会发现淘宝网有漏洞，买东西时只要账户余额不足，淘宝会退钱，于是他在5个月里，10万余次故意制造余额不足的情况，从网上偷走了1300余万元。

而案件引发关注的，似乎不是什么漏洞，而是这笔钱，除消费挥霍外，他拿出四五百万打赏网络直播的女主播，最多的一次，给了女主播8万元。

“靠，居然有这么低级的漏洞，我咋没遇到。”事发后，许多网友留言调侃。

天下没有完美的事物，软件开发者的疏忽，或者是编程语言的局限性，比如c语言家族比java效率高但漏洞也多，电脑系统几乎就是用c语言编的，所以常常要打补丁。

科技领域从来就不缺乏漏洞，缺的是面对漏洞的态度与做法。“安在”曾以“360悬赏200万邀黑客找茬”为题，报道了360解决漏洞的态度。

360SRC悬赏200万找漏洞

“排斥和掩盖安全问题，只会带来更大的风险”，360董事长周鸿祎的话掷地有声，任何产品都会出现漏洞，企业只有向安全社区开放合作，才能及时消除隐患,把用户的风险降到最低。

新年伊始，各大厂商的SRC纷纷加大对白帽子的漏洞报告奖励，力度空前。

2月23日，360SRC（安全应急响应中心）宣布，今年将投入超过200万奖金悬赏白帽黑客为360产品找漏洞，奖金数额相比去年提升一倍。并特别推出“IOT安全守护计划”，把最新款产品免费提供给知名黑客团队和安全专家进行测试，如果发现严重漏洞将获得最高36万元的重金奖励。

与此同时，阿里安全应急响应中心（ASRC）在2017年也加大对白帽子的奖励，如果白帽子提交的漏洞或者情报危害足够严重，还会有额外现金奖励2-10万（人民币）。

而腾讯安全应急响应中心（TSRC）则对所有报告的高风险及以上的安全问题均在TSRC现有评分规则基础上双倍奖励，符合TSRC即时现金奖励标准的严重安全问题，将额外给予1-50万的即时现金奖励。 

3月15日上午，涉嫌盗窃罪的胡安受审。在法庭上，胡安表示认罪，他说发现淘宝网上的漏洞非常偶然，觉得来钱快收不住手了。

面对这些Bug，占小便宜的心态恐怕难以避免，但你真把它当做一件可以“发家致富”的行为时，恐怕已经触犯了法律的红线。

有些便宜跨越了法律的红线

而在网络攻击的世界，漏洞系统Bug等同硬通货，IOS漏洞的售价一度飚到百万美元，但在白帽黑客眼里，天价悬赏并没有什么吸引力，各大厂商的漏洞致谢榜才是彰显实力的荣耀赛场。

根据各大操作系统和基础软件厂商发布的漏洞致谢公告统计，2016年，中国安全厂商360协助谷歌、微软、苹果、华为、高通、Adobe、WMware以及各虚拟化软件和开源项目发现漏洞408个，成为全球获得致谢次数最多的安全厂商，360也创下一年报告漏洞超过400个的世界记录。

对待漏洞的态度全在一念之间

对待漏洞的态度不同，得到的将会是截然相反的结果。

“你用实名认证的支付宝偷钱，这不是正常日子过腻歪了？换我我就给优酷支付宝技术部门打电话，他们可能得给我两万块钱奖励。”有网友显然能预判“贪小便宜”的风险。

胡安在庭审中说，对不起优酷公司，但不后悔，“进入社会前没什么朋友，但自打有钱后，朋友多了，不走动的亲戚也来了，我不后悔。”

2016年曾发生过一个类似的案件，在福建工作的河南男子胡某在使用某银行APP时，发现软件中增添了一个支付功能，只需输入信用卡账号和密码就可以完成支付，不需要提供手机验证码。胡某动起了心思：网上有贩卖银行卡账户、密码信息的，买来一输入，不就可以套现了!

胡某将自己的想法告诉了唐某和刘某，三人一拍即合。他们用对方的账号、密码做了两次试验，发现果然可以支付。随后，3人进行了分工：胡某联系购买银行账户、密码，花钱；唐某和刘某负责制作收款账户的二维码，收钱。而就是这种某银行软件现漏洞直接导致十名客户的信用卡遭盗刷，共损失40余万元。

当然，等待这名胡某的也是逃不掉的牢狱之灾。互联网的便宜很多，但如何对待，全在一念之间。