本篇文章更新時間:2026/02/21
如有資訊過時或語誤之處,歡迎使用 Contact 功能通知或向一介資男的 LINE 社群反應。
如果本站內容對你有幫助,歡迎贊助支持 。
內容目錄
我找到漏洞,他們找來律師:一場善意揭露卻被法律威脅的真實案例
以《I found a Vulnerability. They found a Lawyer.》為靈感,談一場負責任揭露如何被曲解成威脅
編輯前言:這篇文章值得一讀,因為它不只是一起資安事件,而是揭露「研究者善意報告、企業卻以法律威脅回應」的惡性循環——這正是當前資安文化最根本的問題之一。
核心觀點(Key Takeaways)
- 文章作者發現的漏洞極為嚴重:使用遞增 ID + 靜態預設密碼即可登入任何使用者帳號,包括未成年學生的完整個資。
- 作者依照負責任揭露流程通報企業與 CSIRT,卻遭企業以法律威脅回應,並要求簽署帶有 NDA 性質的聲明書。
- 本事件凸顯許多企業將「聲譽管理」置於「資訊安全」之前,也反映出良好 CVD(協同漏洞揭露)政策的重要性。
深入解析
文章從作者在可可島潛水旅程中揭露的漏洞開始——一個簡單到不可思議的缺陷。學生在被教練註冊後會收到以遞增編號為帳號的 ID,而密碼則是每個人都相同的預設密碼。更糟的是,平台並沒有強制使用者首次登入更改密碼。
換句話說,只要你知道某個帳號的格式——例如 123450——你就能沿著序號一路試下去,並使用同一組預設密碼登入他人的個資頁面。文章中提到:
「That's it. No rate limiting. No account lockout. No MFA. Just an incrementing integer and a password that might as well have been password123.」
而這些個資不是 email 而已,而是完整的真實姓名、住址、電話、生日,甚至包括 14 歲未成年學生的資訊。
- 漏洞的可怕之處:幾乎任何人都能在一個下午複製同樣的步驟。
- 作者的處理方式:作者在確認漏洞後立即停止,不保留資料,並全程比照負責任揭露程序。
- 官方的反應:企業的 IT 團隊沒有先回應,反而是資料保護官(DPO)的律師出面,用的不是感謝,而是法律威脅。
律師信內容包括:
「your actions likely constitute a criminal offence under Maltese law.」
甚至要求作者簽署一份嚴格限制發言的聲明書,當天截止,並要求提供護照影本。
作者拒絕後,對方再次加碼引用刑法條文、強調跨境適用,意圖製造壓力,並警告不得在任何文章或會議上使用組織名稱。
從這裡開始,本案已經不是資安問題,而是文化問題:企業慣性把研究者視為威脅,而非合作夥伴。
筆者心得與啟發
讀完這篇文章,我最大的感受是:資安界喊了十年的「Don’t shoot the messenger」,在 2026 年依然沒有真正落地。作者找到的漏洞極為初階、極為基本,卻涉及極敏感的個資,更牽涉到未成年使用者——這種狀況本應引發企業第一時間的感謝與改善,但結果卻變成「先找律師、再處理技術」。
這篇文章讓我重新思考,一個企業的資安成熟度,不是看它用了多少工具、啟動了多少防禦,而是看它如何面對來自外部的善意提醒。願意透明、願意承擔責任、願意把研究者視為盟友,這些遠比任何技術堆疊更能反映出企業真正的安全文化。
在實務上,我建議企業至少做到以下幾點:
- 有正式且公開的 CVD 流程,讓研究者知道正確管道。
- 採取「感謝優先」的溝通態度,而非「威脅優先」。
- 對於涉及未成年個資的事件,務必主動通知當事人或監護人。
- 避免讓法律部門主導對研究者的回應,因為那往往適得其反。
從研究者的角度,作者也展示了正確的做法:
- 通報官方 CSIRT 以建立紀錄並保護自己。
- 只取得最低必要資料、並在確認後立即刪除。
- 拒絕模糊的 NDA,保持揭露流程的透明性。
總結而言,這篇文章是一個警示:我們的資安觀念若依然停留在以防止「外部曝光」為核心,那我們永遠無法建立真正安全的系統。安全是文化,不是宣傳。而文化最終反映在一封回信的語氣、一個決策背後的優先順序上——究竟是以保護使用者為先,還是以保護企業名聲為先。
這個事件的意義,遠大於它的技術細節。它提醒我們:真正危險的從來不是漏洞,而是拒絕面對漏洞的人。