白帽子乎？!

二零一八年十月廿九日，廿七歲的陳子恩發現香港航空公司 (Hong Kong Airlines) 登機證的網址有敏感資料外洩 (學名為 Insecure Direct Object Reference，IDOR) 漏洞，可以任意讀取其他客戶的資料。他辯稱曾聯絡香港航空公司報告有關其漏洞，但未獲正視，所以向傳媒披露。

同日，傳媒隨即向該公司查詢，該公司職員發現陳某曾經在未獲授權的情況下讀取其中一個客戶的資料。該公司立即報案。經調查後，陳某被控以「電訊條例」的有關罪行。

他在庭上辯護說他發現漏洞，但未被正視，如果這情況在外國，或者是白帽子的話，他就會得到獎賞，但是他卻被檢控有關罪行，覺得不公平和「司法滋擾」。最後，陳某在二零一九年七月三日被判有罪，准以自簽一千五百港元，守行為一年了事。

現在分析和研究一下陳某是否犯法和其辯護的理由是否合理。

首先白帽子是指「道德黑客」其在書面授權的情況下進行滲透測試 (Penetrating Testing)。若果所謂的白帽子，並不在書面授權之下進行滲透測試，他就是犯法，顧名思義就是黑帽子。至於獎賞，如果目標的公司或機構是舉行或參與獎賞計劃 (Bug Bounty) 的話，所有參與滲透測試的人員都是在書面授權的情況下操作，如果白帽子有所發現，他們就得到其應有的獎賞。

所以重點就是否在書面授權的情況下進行滲透測試。以這個案例來說，陳某並非在書面授權的情況下進行滲透測試，所以他是觸犯法例的，這情況亦包括外國的其他國家。

最後，我個人認為，陳某是輕判了！請各位不要以身試法。所謂獎賞是非必然的。

Samiux
OSCE OSCP OSWP
二零一九年七月四日，中國香港

參考資料

東網新聞
 頭條新聞
 維基百科

Engineer reports data leak to nonprofit, hears from the police – Bleeping Computer
刚上报数据泄露，律师和警察就找到了我 – FreeBuf

Reference