这是一个关于"好人没好报"的故事,也是2026年网络安全圈最荒诞的一幕。

一位潜水教练兼平台工程师,在哥斯达黎加的海船上无聊测试了一下保险公司的系统,结果挖出了一个"弱智级"的高危漏洞。

他老老实实按流程上报,没要一分钱赏金,结果等来的不是感谢信,而是一封来自律师事务所的刑事起诉警告书

你没听错,他发现了漏洞,对方却找来了律师。

漏洞低级得让人想笑

事情得从一次潜水旅行说起。

Ken 是一名潜水教练,也是个整天跟基础设施安全打交道的平台工程师。

2025年,他在哥斯达黎加的科科斯岛(Cocos Island)进行为期14天的潜水之旅。

在海上漂着的时候,他顺手帮几个学生注册某大型潜水保险机构的会员账户。

image

这就是那艘船,科科斯岛某处,一只军舰鸟停在船栏上。

就在学生坐在他旁边查收欢迎邮件时,Ken 瞥见了一个让他脊背发凉(这个词虽然用烂了,但真的是脊背发凉)的细节:

用户ID是连着的。

第一个学生的ID是XXXXXX0,第二个是XXXXXX1,第三个是XXXXXX2。

如果你懂点技术,这时候应该已经警铃大作了。

但更离谱的还在后面:

系统给所有账户分配的都是同一个默认密码,而且不强制用户首次登录修改

这意味着什么?

意味着只要你会数数,就能登录别人的账户。

  1. 猜一个连号ID。
  2. 输入那个万能的默认密码。
  3. 查看受害者的姓名、地址、电话、邮箱、出生日期,甚至包括未成年学生的隐私数据。

没有速率限制,没有账户锁定,没有多因素认证(MFA)。

这就是一个在互联网上裸奔的保险库大门,钥匙就在门口的地毯下面。

Ken 只做了最基础的验证就停手了,他甚至没兴趣多看一眼那些数据。

说实话,这种漏洞对于一家处理敏感个人数据的保险公司来说,简直是不可原谅的低级错误。

好心提醒,却换来了“刑事犯罪”的指控

Ken 做了一个安全研究员该做的一切。

2025年4月28日,他并没有直接把事情闹大。他先联系了马耳他的计算机应急响应小组(CSIRT Malta),因为这家保险公司注册在马耳他。

随后,他给该公司发了一封措辞极其专业的邮件,详细描述了漏洞细节,甚至附上了概念验证代码的加密链接。

他给出了标准的30天修复期。这甚至可以说是相当宽裕了。

两天后,回复来了。

不是来自IT部门,也不是来自安全团队,而是来自该公司的数据保护官(DPO)聘请的律师事务所

开头还算客气,承认了问题,说正在重置密码,还要推双因素认证。

但紧接着,画风突变:

"我们不感谢你在联系集团之前通知当局,这给我们带来了额外的复杂性和不公平的责任风险。"

这还不算完,律师们紧接着祭出了杀手锏:

"我们提醒你,你的行为可能构成马耳他刑法下的刑事犯罪。"

甚至还要引用法条恐吓一番:哪怕你在马耳可以外的地方干的这事儿,我们也视为在马耳他犯罪。

老实讲,看到这里我真是气笑了。自家大门敞开让人随便进,好心人敲门告诉你"没锁好",你反手就要把好心人送进去?

甩锅用户、跨国追责,这波操作属实“骚”

image

更有意思的是这家公司的逻辑。

他们发来了一份"声明"要求 Ken 签署,内容不仅包括确认删除数据,还包括一条极其霸道的要求:必须对整个事件保密

而且,要求当天就要签完发回去。这哪里是声明,这就是一份封口令。

Ken 拒绝了。

他只愿意签删除数据的确认,绝不接受对披露过程本身的封口。

于是,对方急了,开始频繁发送催促邮件,甚至把"刑事犯罪"的帽子扣得更死。

最让人大跌眼镜的,是这家公司对责任归属的看法:

"我们认为,用户有责任在分配默认密码后修改密码。"

听听,这是人话吗?

一家保险公司,给所有用户分配同一个弱密码,不做强制修改策略,用连号ID做登录凭证,最后出了事,怪用户没改密码

这就好比一家银行给所有客户发同样的银行卡密码,然后怪客户没去柜台改密码导致钱被偷。

根据 GDPR(通用数据保护条例),数据控制者有义务实施适当的技术和组织措施来确保数据安全。

给所有账户设同一个默认密码,在任何定义下都不叫"适当措施"。

漏洞能修,这种“安全文化”怎么修?

image

这场闹剧的结局呢?

漏洞确实修好了。默认密码重置了,2FA 也在推了。Ken 猜测,那些可怜的开发人员大概加班加点把坑填上了。

但受影响的用户被通知了吗?不知道。Ken 多次询问,对方未置可否。

根据 GDPR,涉及未成年人数据的高风险泄露,必须通知监管机构和当事人。这家公司似乎更愿意把精力花在给研究员发律师函上。

个人觉得,这才是最讽刺的地方。

他们修好了代码里的 Bug,却完全暴露了企业文化里的 Bug。

素材评论区里有位网友说得特别到位:"如果其他行业也这么干,建筑师发现了摩天大楼的地基缺陷,你是要起诉建筑师吗?"

image

虽然网络安全有点特殊——知道漏洞本身就带有风险,但这不能成为企业用法律大棒恐吓善意研究者的理由。

这种"寒蝉效应"我们已经见得太多了。公司宁可花钱请律师发函,也不愿意花精力建立一套正规的漏洞响应机制(CVD)。他们以为保住了面子,殊不知这种"律师函警告"才是对品牌声誉最大的毁灭。

毕竟,漏洞谁都会犯,但面对错误时的傲慢与无知,是多少钱都公关不回来的。

如果一家公司面对善意提醒时,第一反应不是"谢谢",而是"起诉",那你最好离它远点。

谁知道下次你的数据泄露了,他们会不会告你没把眼睛闭上?

参考链接:
https://dixken.de/blog/i-found-a-vulnerability-they-found-a-lawyer