在今天下班时分，网易SRC发布了一则言辞极为激烈的声明，指责平台上有白帽子不遵守平台漏洞测试原则，未经授权情况下，擅自公开披露了一例已修复漏洞的细节。

以下为声明全文：

网易安全应急响应中心一直秉承合作、开放的心态与广大白帽子切磋交流，也非常感谢每一位支持网易安全建设的安全伙伴。《中华人民共和国网络安全法》于即日起正式实施，我们呼吁每一位白帽子仔细研读该法律条文，并在进行安全测试时定要遵纪守法，避免在做网络安全检测时面临不必要的风险，这样不仅是对法律的敬重，也是对自身的保护。

近期发现个别白帽子在网易某漏洞测试活动中，违反漏洞测试原则，在未经网易及NSRC授权的情况下，擅自公开披露漏洞细节，让广大网易产品用户置于潜在的风险中,并且其在披露漏洞细节一文以及个人微博中部分所述与事实不符，事后沟通时，其并未积极配合消除影响，给我们后续降低用户面临的风险带来极大的被动和额外的代价。

在此，NSRC对此事进行如下说明：

2017-04-14 15:19 该白帽子报告已提交。

2017-04-14 15:19 该白帽子提交的报告正在审核中。

2017-04-14 17:52 该白帽子提交的报告已确认。

2017-04-14 17:52 该白帽子提交的报告已评分，本次报告获得10积分，对应贡献币400枚。

2017-04-14 18:07 该白帽子提交的报告重新评估后获得10积分，对应贡献币600枚。

2017-04-21 产品团队推出第一个修复后的更新版本，并于线上测试。

2017-04-22  该白帽子在博客、微博等未经网易授权对漏洞细节进行了披露。

该白帽子在未经网易授权的情况下，擅自公开披露漏洞细节，违反了NSRC平台规则：

《网易安全应急响应中心安全报告处理说明》中 “基本原则”说明：

“未经允许请勿在任何公众场合或平台讨论或披露产品漏洞细节。如有上述行为，网易将有权追究其法律责任。”

同时在《中华人民共和国网络安全法》第三章第二十六条中也有相关法律约束：

“开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。”

针对于此种不规范的行为，网易安全应急响应中心决定，撤回该白帽子此漏洞的奖励，该用户提交的其他漏洞不受影响。对于情节严重者，网易有权追究其法律责任。并且，对于白帽子违反规则进而构成刑事犯罪的行为，网易有法定义务报案、举报、并配合刑事侦查机关提供相应证据。

为规范漏洞挖掘行为，维护NSRC白帽子和NSRC平台的合法权益，NSRC决定正式施行《网易安全应急响应中心服务条款》，同时我们也呼吁每一位白帽子在进行安全测试前仔细研读《中华人民共和国网络安全法》法律条文以及NSRC平台《网易安全应急响应中心服务条款》各项条款，明确自己的责任和义务，避免在做网络安全检测时面临不必要的风险，以维护自身的合法权益。

一直以来，NSRC的白帽子们为网易甚至整个互联网的安全都做出了卓越的贡献，我们深知，网易安全建设不光需要安全工程师团队，更大的助力来自愿意支持和帮助我们的NSRC白帽子与广大网易用户！这里，也衷心感谢几年来一直默默支持我们的白帽子与网易用户！透过一个个安全漏洞与一次次安全事件，我们深切体会到目前的互联网安全状况的严峻，而层出不穷的安全问题如何解决，知不易，行更难！

如何帮助产品变得更稳健，如何让用户更安心，我们一直在思考，也一直在行动。

在安全的路上，愿我们与你易路常相伴~

网易安全应急响应中心

NetEase Security Response Center

另一面，当事白帽子昨天在博客上也描述了事件的大概经过。

一个多月前帮朋友兑换的保温杯迟迟没有发货，我去找他们问其原因，结果被告知领导很重视之前文章（发出后马上被公关掉的漏洞 [已修复且推出补丁] Paper）的事情，所以所有积分被冻结了。大概 5k 左右，钱倒还好主要郁闷在积分被冻结并没有收到通知，不然谁会去兑换呢。

好吧~~ 惹不起惹不起，漏洞赚了，钱不用花，文章也公关掉了，全场最佳。p.s 当时比较有趣的是由于积分商议的结果不是很好，当时就沟通好之后不去报漏洞了，结果万万没想到 xxD

那么，整个 Timeline 可能是这样的：

2017-04-14 15:19 您的报告已提交。

2017-04-14 15:19 您提交的报告正在审核中。

2017-04-14 17:52 您提交的报告已确认。

2017-04-14 18:07 您提交的报告已评估。

2017-04-20 15:51 奖励贡献币对应 ￥5000 。

2017-04-21 xx:xx 修复漏洞发布补丁。

2017-04-22 13:00 编辑发出技术细节。

2017-04-22 15:00 收到法务通知，文章被公关。

2017-04-xx ~~ xx 提交其他多个漏洞，兑换保温杯。

2017-05-28 00:00 询问长时间不发货原因。

2017-05-29 11:00 告知积分全部冻结。

据嘶吼了解，两方争执的是一个名为“网易云音乐客户端远程命令执行”的高危漏洞。云音乐客户端对mp3格式处理不当，攻击者构造恶意音乐文件，让用户打开后即可执行恶意程序，Windows、macOS版本均受影响。

如果事情发生在今天之后，《网络安全法》已经实施，尽管白帽子是在官方修复漏洞后才公布漏洞细节，但修复版本发布时间太短，恐怕有大量用户没有更新，尚处于风险中。因此，白帽子可能要承担起部分责任，特别是因为披露漏洞细节对用户造成了损失。

而网易在收到漏洞报告评估后，应主动向有关主管单位报告，并且用户信息可能泄露的情况下再次向用户和有关主管单位报告。如果没有报告，也需要接受处罚。

那漏洞是不是不能公布了呢？工信部旗下CNCERT曾和国内相关平台签署《中国互联网协会漏洞信息披露和处置自律公约》，漏洞信息披露要遵守“客观、适时、适度”三原则。适时适度很重要。

法律之外，网易在已经初步控制披露影响的情况下，言辞还如此激烈，其公关能力也是彪悍度爆表。但也需留神，别赢了法理，丢了人心哦。