安全研究组织倡议修法保护白帽骇客

安全研究人员或白帽骇客从软件找出漏洞可确保用户安全及厂商名誉，却被厂商告上法院的例子屡见不鲜。一群网络安全专家本周联合倡议修改过时法令，使漏洞研究人员不再遭受被告威胁。

代表22国网络安全研究人员的法国非营利组织CyAN（Cybersecurity Advisor Network）和零时差立法专案（Zero Day Legislative Project）联合发出倡议。

零时差立法专案主管Peter Coroneos指出，白帽骇客是保护连网系统的重要环节，他们揭露未修补的软件漏洞，并通报相关业者解决漏洞，但是他们却面临对产品漏洞公开很敏感的业者以法律威胁之。

这些研究人员面临著作权法，或与存取或扰乱电脑系统有关的刑事罪名。例如2017年DJI曾经举办抓虫奖励方案，最后却不但没付奖金，反而扬言将以《电脑欺诈和滥用法》控告通报安全漏洞的研究人员。有时威胁甚至来自-。2017年美国司法部控告曾经找出WannaCry破解方法的天才骇客Marcus Hutchins，指其撰写木马程式Kronos并卖给罪犯，有记者认为美国-是为了掩饰更多漏洞而出手。美国-一共对其以10项罪名提出告诉。

Coroneos指出，过时法令脚步跟不上网络挑战，将阻碍研究及延误漏洞通报。他们希望共组国际联盟倡导法令革新，使零时差漏洞研究人员不再需要担心产品业者过激的法律回应。

经济合作与发展组织（OECD）也将修法列为2021年对立法单位观察指引，指出漏洞所有者不但不欢迎漏洞通报，反而以法律程序威胁研究人员，而如果相关单位是跨不同国境，则这类法律风险将对负责任揭露行为引发寒蝉效应。

这项行动已获得许多资安界知名人士的声援，包括微软漏洞研究创办人Katie Moussouris、前英国网络中心CEO Ciaran Martin、前美国网络外交官Chris Painter、CyberPeace Institute CEO Stéphane Duguin，和前法国网络防御指挥（FR COMCYBER）中将Arnaud Coustilliere等。