主页 > 体育 > 周鸿祎否认:EOS团队会给我们发奖金
2018年08月22日

周鸿祎否认:EOS团队会给我们发奖金

周鸿祎:EOS团队表示会给我们发放漏洞奖金

360发布EOS高危安全漏洞消息,周鸿祎回答王峰邀十问时否认360在故意制造恐慌,”如果说我们要制造恐慌,直接在主网上线时放出这个,恐慌效果一定比现在要好的多。”

他表示,对于已经修复这个事情,我还是需要和大家普及一个知识,就是我们安全厂商对外公开披露的漏洞,一定是先和对方沟通,提交给对方去修复,在得到他们修复的确认之后,然后我们再公开。因为如果EOS没有修复,我们公布出来了,肯定会有一大波黑客立马上去搞他们,所以我们发布报告的时间当然会是晚于修复时间的。

这个不仅仅是对EOS,对微软谷歌苹果都是一样的,对于安全漏洞,通常的步奏就是,首先是挖掘漏洞,挖出来之后就会研究,会怎么被黑客们利用,把这些研究透了,再向相关的厂商汇报,比如这次EOS的,就是把怎么利用的视频还有涉及的详细代码报告给了对方,再然后就是对方修复,等对方确认修复之后,我们才会对外公布。

他提到的这个root权限,root权限是指计算机系统里面的最高权限。是否获得root权限,不影响攻击者控制EOS节点,没有root权限也是一样的。如果用户使用root权限运行eos,那么攻击者就可以获取root权限。

非常明确地说,我们先私下联系了BM通知了他们eos漏洞,希望他们先修复,这都是有聊天记录截屏的,等到eos修复了,我们再对外发布这个漏洞公告。

今天我们也还在和对方继续保持沟通,对方对我们表示感谢,也表示会给我们发放漏洞奖金,会对外发致谢。

这也是安全圈的行业通行做法,对方不修复,我们不会公告。这事我们一直在BM单独沟通,他在Telegram上的留言的截图是昨天晚上的,比较断章取义。实际上那个留言之后,他很快回复说,漏洞是真实存在有效的。但是就被截了一点儿。

至于制造恐慌,如果说我们要制造恐慌,直接在主网上线时放出这个,恐慌效果一定比现在要好的多。我再强调一遍,我们提交的漏洞,EOS官方是确认真实有效的,并且我们在和EOS官方及BM一直在沟通关于漏洞提交和定性的事情,而且,今天早上在和BM沟通时,他们依然是非常认同我们的成果和技术实力的。