补天漏洞响应平台

当前位置: 补天漏洞响应平台 >> 法律援助

常见问题

1、 在挖洞测试站点过程中,怎样才不会犯法?
       按照《刑法》第二百八十五条的规定,侵入计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,构成非法侵入计算机信息系统罪或者非法获取计算机信息系统数据罪。
       所以,构成这种类型的犯罪要同时具备三个条件:1、侵入计算机系统;2、获取计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制;3、情节严重的。
       只有这三个条件同时具备才构成犯罪,要受到刑罚。也就是说,仅仅是侵入计算机系统,但没有获取数据,或者侵入了,也获取了数据,但情节不严重的,也不构成犯罪,不受刑法处罚。
       情节是否严重,《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中有明确的规定,可予以参考。
2、 如果我对某网站进行渗透测试时,若不小心删除了数据库,导致网站瘫痪,我该怎么办?
       根据《刑法》第二百八十六条规定,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,构成破坏计算机信息系统罪。
       所以,够不够成这个罪名,取决于你造成的后果是不是严重,按照《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的规定只要"造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的"就可以构成这个罪名。
       因此,在这种情况下尽可能与网站所有者进行沟通,达成谅解,不予追究你的刑事责任。
3、 给菠菜或者色情网站做维护犯法么?
       菠菜、色情是我国法律明令禁止的,所以,给这些网站做维护也是不允许的,属于共犯,就好比你帮某个人开机器印伪钞,也是违法的,最好不要干这样的事。
4、 就我所知,其它平台上面就有不少白帽子因为提交漏洞,被查了水表,那么我该如何相信补天能在我提交漏洞的时候,确定我不会被查水表?
       我们会对相关人员进行法律方面的培训,认清楚相关行为违法与犯罪的界限,尽可能在法律规定的前提下从事相关的行为,只要不断地提高自己这方面的法律意识,知道哪些行为是可以做的,哪些是不可以做的,就不用担心这些事情。
5、 构成犯罪年龄
       已满十六周岁的人犯罪,应当负刑事责任。
6、 白帽子上传文件或者webshell是否会引起厂商误会?该如何避免误会?
       这个行为需要严格注意。
       白帽子上传文件或webshell,如果只是公布个漏洞名称还稍微好一点,如果将细节都进行公开,就意味着将厂商网站存在的漏洞全部暴露出来,这个行为的后果很有可能会被黑客利用并侵入厂商的计算机系统。
       如果黑客的破坏行为达到"后果严重"的标准,那白帽子这种行为肯定不会得到厂商的认可,而且,由于这种行为帮助或方便黑客实施犯罪行为,从这个角度来讲,白帽子的行为很有可能对厂商所遭受的损失承担一定的赔偿责任。
7、 友情测试和犯罪的区别在哪?
       首先,如果是得到计算机系统所有者的许可,就主观动机方面不构成"非法侵入"这一犯罪罪名成立的前提;
       其次,如果是友情测试,一般情况下会对行为的后果有一定的预判或防范,不会对计算机系统产生破坏性的后果;
       再次,按照刑法第二百八十五条、二百八十六条的规定,这种行为与犯罪最大的一个区别,就看是否会产生严重的后果,如果这种行为真的也造成了严重的后果,但由于是友情测试,在计算机系统所有者知情并能够谅解的前提下,也不构成犯罪。
8、 白帽子所做的是否违法刑法第二百八十五条第二百八十六条第二百八十七条这三条法律?
       根据前面的解答分析,白帽子的行为很有可能会违反刑法第二百八十五条 第二百八十六条,是否构成犯罪,取决于白帽子的行为是否会产生严重的后果。
       第二百八十七条,主要是对利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的行为的规定,从刑法对这个罪名的描述来看,白帽子所做的行为与这个罪名还是差的比较远。
9、 用户的个人数据是不是一种财产?如果是,那么所有权人应该是谁?
       用户的个人数据可以理解为一种财产,因为现在人们的生活很多情况下,包括使用网站账号衣食住行、工作、支付都离不开个人的数据。个人的数据其所有权人属于该个人所有,多半情况下属于个人隐私,受法律的保护。
10、 读取少量数据测试后,厂商却拿出日志说拖库,应该怎么办?
       按照法律规定,只要是进入他人的计算机系统,获取该计算机信息系统中存储、处理或者传输的数据,就已经有可能构成犯罪,但这个行为是不是构成犯罪主要看后果是否严重,“后果严重”的标准以《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的规定为准,如果达到这个标准就构成犯罪。
       所以,这种情况下最好给厂商说清楚你做这件事的动机和目的,让厂商理解你的行为,当然,按照法律的规定,如果你的行为并没有达到“后果严重”的标准,最多也只能说是一种违法行为,还构不成犯罪。
11、 拿到授权进行测试的,如果在授权范围内造成了致命性危害,会算违法吗?
       授权测试,最好事先与计算机系统所有者就测试行为签署书面文件,就测试的方法、流程、相关的细节、有可能造成的后果都约定清楚。
       有了约定,如果由于失误造成致命性危害,并且是在约定范围内的,是不属于违法,也不用承担任何责任后果,可以避免不必要的麻烦。
12、 用户信息泄露,厂商是否需要为用户负责,承担法律责任呢?
       如果是由于厂商的失误,造成用户信息泄露,并且给用户造成损失的,属于厂商没有尽到对用户信息的保管义务,厂商是需要承担民事赔偿责任,如果厂商拒绝承担赔偿责任,用户可以向人民法院起诉,用法律手段维护自己的权益。
13、 未经授权对某厂商进行了渗透测试,然后通知他们管理网站存在漏洞,在我未动数据的情况下他们报警了,然后我被抓了,还被拿走了笔记本,这种情况该怎么维权?电脑还能要回吗?厂商有没有责任?
       按照《治安管理处罚法》第二十九条、《刑法》第二百八十五条的规定,只有在未经允许侵入厂商的计算机系统;获取该计算机信息系统中存储、处理或
       者传输的数据,或者对该计算机信息系统实施非法控制;情节严重的,这三点同时具备的前提下才构成犯罪。 你这种情况并不存在后面两个构成要素,所以不属于犯罪,最多是一种轻微的违法行为,不应受到刑法处罚,公安机关也没有权利没收你的笔记本。如果公安机关不予返还笔记本电脑,可以向公安机关的相关部门或上级机关进行反映。
       厂商在整个过程中并没有什么过错,是不用承担任何责任。
14、 发现严重漏洞后有没有必要提醒用户更改密码,如果因没有提醒造成用户损失,厂商要不要担责?如果用户向厂商追责的话,白帽子要不要担责任?
       厂商在发现自己的计算机系统存在严重漏洞时,有义务告知用户及时修改密码,并立即采取措施弥补漏洞,如果用户因此遭受损失时,厂商是需要承担赔偿责任。如果用户的损失是由于黑客或其他别有用心的人利用白帽子公布的漏洞或漏洞内容侵入厂商计算机系统造成的,任何直接或间接对此损害结果的发生有因果关系的人都要承担法律责任。
       相对于直接实施犯罪行为的黑客和别有用心的人,白帽子所承担的责任是次要的,每个责任承担者根据其在给用户造成损害的整个过程中所起的作用大小来承担相应的责任。
15、 在某平台提交了一个危害较大的漏洞。虽然得到厂商确认,但却在索要我地址向我邮寄礼物时突然反口,说让我写保证书,保证以后不再入侵此公司网站,不写就报警,我该怎么办?
       如果你仅仅是进入到厂商的计算机系统进行了一个测试,并没有获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,并且也没有造成严重后果,是不构成犯罪,不用承担刑罚后果。
       但是,如果你藉此向厂商索要礼物,那这种行为涉嫌敲诈勒索,如果情节比较严重,那有可能构成犯罪,是需要承担刑事责任的。