昨天看到一个发布漏洞情报详情的公众号自己注销截图:
截止发稿前,该公众号尚未恢复,也无法进行搜索,与该图一起的还有作者相关信息:
看作者的状态,事情并没有那么严重,在被约谈之时,还能有空发个朋友圈,不过这个事儿大概率是真的。
关于漏洞情报的发布,国家相关法律法规是有所要求的:
1、《网络安全法》第二十六条:开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。
2、《网络安全法》第六十二条:违反本法第二十六条规定,开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的,由有关主管部门责令改正,给予警告;拒不改正或者情节严重的,处一万元以上十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。
3、《网络安全法》第二十七条:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
4、《网络安全法》第六十三条:违反本法第二十七条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。
5、《网络产品安全漏洞收集平台备案管理办法》规定设立漏洞收集平台的组织或个人,应当通过工业和信息化部网络安全威胁和漏洞信息共享平台如实填报网络产品安全漏洞收集平台备案登记信息。
6、《网络产品安全漏洞管理规定》第九条:从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:
(一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。
(二)不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。
(三)不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。
(四)不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。
(五)在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。
(六)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。
(七)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
(八)法律法规的其他相关规定。
学习完相关法律之后,针对该公众号可能存在问题包括:
1、收到漏洞情报后,第一时间未上报国家相关单位,比如网信、公信、公安等部门,而直接发布漏洞细节,违反第 6 条
2、有黑客利用该公众号发布的漏洞细节,进行违法犯罪活动,通过该漏洞溯源到该公众号或者被犯罪分子供出,违反第 4 条
越来越的安全从业者成为了自媒体博主,为了博取流量,一方面蹭热点,一方面是独家,作为安全从业者,很多内容处于灰色地带,一有不慎就会触发相关法律法规,这里也是给大家提个醒,在发布敏感信息时,首先确认是否违法相关规定,再次确定是否进行发布。
