阿里和腾讯,发现对方的安全漏洞后态度大不同

作者: Admin 分类: 动态随笔 发布时间: 2018-02-16 04:02 ė 6 没有评论

咱们先从1个月前腾讯发现支付宝漏洞的行为,以及本次阿里发现微信漏洞的行为,这两件事情的前因后果说起,最后再说说我的看法。

如果你发现别的部门同事犯了错误怎么办?

咱先举个职场上的小例子,如果你发现别的部门同事犯了错误怎么办?一般会这样:

厚道一点的做饭:提醒下这位同事改进改过来,避免以后再犯;

说的过去的做法:给他领导说下这个问题,同事给这位同事说下,让他做好整改措施;

对同事有敌意的做法:直接告诉他领导这个问题,让他领导去找这位同事;

最不厚道的做法:把这个错误直接在公司里面整的沸沸扬扬,让这位同事下不了台。

我相信如果出现这种情况,我们的处理办法也就差不多这四个吧,至于会选择哪个,这就要看跟这位同事的关系怎么样了,当然也跟自己的品行有关。那么接下来,咱们看下阿里、腾讯是怎么做的:

1.9日腾讯安全实验室发现支付宝漏洞

严格来讲,在上个月腾讯安全实验室发现的漏洞并非只存在于支付宝上,为此腾讯方面还专门在1月9日开了场发布会,公布了这些漏洞,虽然这种方式有一点夸张,但是在用户安全的名义下,开一场发布会,也能说得过去,而且会议的主题放在了漏洞弥补措施,以及腾讯安全团队的成绩方面,也无太大纰漏,毕竟人家做出点成绩,还不让人家说说嘛。

但令人不齿的是腾讯方面负责人TK,在这场发布会上主要以支付宝作为例子进行了漏洞演示,这样火药味就有点浓了,也整的支付宝倍感各方面的舆论压力。明知两家公司的强竞争关系,好歹选个别的对象进行演示嘛,这么以来针对性就太强了。

2.12阿里发现微信漏洞

在一个月后,阿里的安全团队也发现了微信的一个非常严重的漏洞(你说这一个月阿里有没有对微信进行针对性的安全检测?),当用户点击一条信息后,在其不知道的情况下,自己的聊天记录将会被实时检测。

阿里这次的做法当然也不能说完全厚道,同时通知了国家安全部门和腾讯方面,但也基本上算是“以德报怨”了吧,随后微信赶紧发布了更新版本,并对国家安全部门以及阿里安全团队表示感谢。

阿里、腾讯的区别

首先,没有任何一家公司能保证自己的系统没有漏洞,及时发现和修补漏洞就成了一件很重要的事,所以几乎每家大公司都有自己的SRC(安全应急响应中心),用于接收漏洞并给予漏洞发现者奖金。腾讯的SRC就叫做TSRC,阿里的叫ASRC,支付宝的叫AFSRC。

也因为这种情况的存在,在安全圈子里有一批特殊的群体,被人们称为“白帽子”,他们经常挖掘发现漏洞,提交给厂商并获取奖金和感谢。当然了,行有行规,白帽子必须要有自己的职业操守,不能用自己发现的漏洞牟利,不能在厂商修复漏洞并公布之前私自公布自己的发现。

这些年来,绝大多数的白帽子都遵守职业节操,认认真真的发现问题并帮助厂商提升安全,一些做的过火的突破底线的也被收拾掉了(例如某知名漏洞中心)。

然而这些年的平衡和安稳就在1个月之前突然被打破了,突破职业道德底线的人叫于旸(人称TK教主),腾讯玄武实验室的负责人。

TK在1个月前发现了一个浏览器内核的通用漏洞,影响多个APP,当然肯定也包括腾讯自己的APP。在这种情况下正确的做法是报告给各大公司的SRC,在大家全部修复和公告之前是绝对不能公开的,因为会引起不必要的恐慌。

然而TK接下来的做法让安全圈的白帽子都惊呆了,他召唤各大媒体,以腾讯玄武实验室的名义召开了专场发布会,现场告诉所有人这个漏洞,更加过分的是现场拿腾讯最大的竞争对手支付宝做演示,教大家怎么用漏洞来攻击支付宝。做了这些之后,TK还不罢休,继续找媒体记者来体验漏洞攻击支付宝,把新闻弄上了央视,听说还获得了马化腾的亲自点赞。

安全圈子沸腾了,这些在白帽子们看来近乎犯罪的行为,就这样轰轰烈烈的上演了,背后是腾讯帝国庞大的背影,安全同学们这是怎么了,痛心疾首…….

于是乎,很快,对于TK和腾讯的行为,阿里就有了“回应”,2月7日阿里安全实验室向国家和腾讯提交了一个微信的严重漏洞,几天后腾讯紧急发布微信6.6.3版本,公告修复了一个漏洞,并对阿里提交漏洞表示了感谢,然后就有了各个新闻。表面看上去平静,但估计腾讯内心肯定是不高兴的,作为挑起整个个事件的TK,估计行为要饱受质疑了。

那么阿里这件事做的过分吗?从安全圈子来看,不算太合适,因为最好的方法是提交TSRC,但对比腾讯的做法,阿里真的是太太太厚道了,说以德报怨都不过分。

大家都知道这个漏洞比之前TK那个严重多了,是一个严重的RCE漏洞,阿里完全可以像腾讯一样大肆炒作,开发布会,上新闻等等。但阿里忍住了,只是把这个漏洞报告给了国家和腾讯,在腾讯自己发公告承认修复这个漏洞之前,阿里也没有任何的新闻稿发出来。

这两件事情到此也就告一段落了,然而在市场舆论中,压力无形中转移到了腾讯这边,没有对比就没有伤害啊,原本在市场形象上就落后的腾讯,经此一役,更加被人们所诟病了。

回想整个事件,我认为一方面腾讯做的确实稍有不妥,开发布会我们理解,但你得提前把这些漏洞告知对方,另外安全市场还由不得你作为仲裁者,来对各个厂家的安全措施指手画脚;另一方面,阿里此次行为值得我们给个赞,虽然阿里安全团队肯定也是憋着一股子火,但冷静的处理办法,为自身赢得了更多的荣誉。

还有一点我想说的是,这两次事件虽是安全问题,但更是公关问题,考验两家公司的公关能力。另外,安全事件无大小,尤其是涉及消费者隐私和资金方面的安全问题,所以希望未来阿里、腾讯两家企业能够以用户安全为出发点,加强双方合作,妥善解决今后出现的安全问题。

本文出自微歌,转载时请注明出处及相应链接。

本文永久链接: http://wego2.com/a-li-he-teng-xun-fa-xian-dui-fang-de-an-quan-lou-dong-hou-tai-du-da-bu-tong.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

Ɣ回顶部