白帽子与企业，谁该为此买单？

白帽子袁炜在乌云网提交世纪佳缘漏洞被抓一事，你应该有所耳闻吧？这在当时引起了不小的轰动，白帽子与企业如何相处一度成为一大热门话题。就在近日，一则白帽子遭大疆威胁的事件，再一次将白帽子与企业信息安全推上了风口浪尖。下面我们一起来看看事情的经过。

1. 开端

今年8月份，大疆有一位实习生在招聘网站上发布招聘信息，但信息中包含了大疆证书密钥，白帽子@KxxxS通过该漏洞在无授权的情况下获得了证书密钥，并提交至乌云网。
大疆得知后，向@KxxxS发函，要求其删除相关信息，并支付10万元赔偿金。@KxxxS认为，自己的行为是出于善意，是帮助大疆发现了漏洞，不应承担赔偿责任。

2. 白帽子的动机

白帽子是指那些利用自己的技术发现漏洞，并向企业或相关部门报告，以帮助他们解决安全隐患的人员。白帽子可以是出于多种动机来行动，比如：

• 为了保护用户的利益，避免他们受到安全漏洞的危害。
• 为了提高企业的安全水平，帮助企业发现并修复漏洞。
• 为了获得荣誉和认可，或者为了赢得赏金。

白帽子在发现漏洞后，如果选择了公开披露，那么就可能给企业带来负面影响，甚至造成经济损失。因此，企业往往会对白帽子采取敌视的态度，甚至会采取法律手段来追究他们的责任。

3. 企业的责任

企业有责任保护自己的信息安全，并及时修复漏洞。如果企业在得知漏洞后，没有采取有效措施来修复漏洞，导致数据泄露或其他安全事故，那么就应该承担相应的责任。

企业的责任包括：

• 建立健全的信息安全管理制度。
• 对员工进行安全意识教育。
• 定期对信息系统进行安全检查和漏洞扫描。
• 及时修复发现的漏洞。

4. 法律法规

我国目前尚未出台专门针对白帽子行为的法律法规。但白帽子行为是否合法，需要具体情况具体分析。

如果白帽子在发现漏洞后，未经企业授权，擅自获取和披露企业信息，那么就可能侵犯企业的商业秘密，企业可以追究其法律责任。

如果白帽子在发现漏洞后，及时向企业报告，帮助企业修复漏洞，那么就可能受到企业的感谢和奖励。

5. 谁该为此买单？

在白帽子与企业之间，谁该为漏洞信息泄露事件买单，需要具体情况具体分析。

如果白帽子在发现漏洞后，未经企业授权，擅自获取和披露企业信息，那么白帽子就应该承担赔偿责任。

如果白帽子在发现漏洞后，及时向企业报告，帮助企业修复漏洞，那么企业就应该承担赔偿责任。

如果白帽子与企业在责任划分上存在争议，那么可以寻求法律的帮助。

6. 建议

为了避免白帽子与企业之间产生纠纷，建议双方都能够本着诚信友好的原则来沟通和合作。

白帽子在发现漏洞后，应该及时向企业报告，帮助企业修复漏洞。企业在收到白帽子的报告后，应该及时修复漏洞，并对白帽子表示感谢和奖励。

白帽子与企业之间，应该建立一种良性的互动机制，共同维护信息安全。