主頁 > 體育 > 周鴻祎否認:EOS團隊會給我們發獎金
2018年06月20日

周鴻祎否認:EOS團隊會給我們發獎金

周鴻祎:EOS團隊表示會給我們發放漏洞獎金

360發布EOS高危安全漏洞消息,周鴻祎回答王峰邀十問時否認360在故意制造恐慌,”如果說我們要制造恐慌,直接在主網上線時放出這個,恐慌效果一定比現在要好的多。”

他表示,對于已經修復這個事情,我還是需要和大家普及一個知識,就是我們安全廠商對外公開披露的漏洞,一定是先和對方溝通,提交給對方去修復,在得到他們修復的確認之后,然后我們再公開。因為如果EOS沒有修復,我們公布出來了,肯定會有一大波黑客立馬上去搞他們,所以我們發布報告的時間當然會是晚于修復時間的。

這個不僅僅是對EOS,對微軟谷歌蘋果都是一樣的,對于安全漏洞,通常的步奏就是,首先是挖掘漏洞,挖出來之后就會研究,會怎么被黑客們利用,把這些研究透了,再向相關的廠商匯報,比如這次EOS的,就是把怎么利用的視頻還有涉及的詳細代碼報告給了對方,再然后就是對方修復,等對方確認修復之后,我們才會對外公布。

他提到的這個root權限,root權限是指計算機系統里面的最高權限。是否獲得root權限,不影響攻擊者控制EOS節點,沒有root權限也是一樣的。如果用戶使用root權限運行eos,那么攻擊者就可以獲取root權限。

非常明確地說,我們先私下聯系了BM通知了他們eos漏洞,希望他們先修復,這都是有聊天記錄截屏的,等到eos修復了,我們再對外發布這個漏洞公告。

今天我們也還在和對方繼續保持溝通,對方對我們表示感謝,也表示會給我們發放漏洞獎金,會對外發致謝。

這也是安全圈的行業通行做法,對方不修復,我們不會公告。這事我們一直在BM單獨溝通,他在Telegram上的留言的截圖是昨天晚上的,比較斷章取義。實際上那個留言之后,他很快回復說,漏洞是真實存在有效的。但是就被截了一點兒。

至于制造恐慌,如果說我們要制造恐慌,直接在主網上線時放出這個,恐慌效果一定比現在要好的多。我再強調一遍,我們提交的漏洞,EOS官方是確認真實有效的,并且我們在和EOS官方及BM一直在溝通關于漏洞提交和定性的事情,而且,今天早上在和BM溝通時,他們依然是非常認同我們的成果和技術實力的。