◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
当你打开自家企业的BBS,很可能看到一个帖子,提示点击进去就可以领取京东内部福利。
当你的工作邮箱收到一封邮件,提示你密码已经过期,需要你使用旧密码重置。
没错,你遇到了骗子。你登陆了虚假的“钓鱼网站”,把信息泄露给骗子。然而剧情在此刻华丽反转,这个“骗子”居然是京东自己的安全部门。如果你不幸上当,等待你的是被关进“小黑屋”,接受“安全再教育”。
如此“钓鱼执法”血腥得让人欲哭无泪。正所谓“一入京东深似海,从此恶习全能改。”这些“钓鱼执法”的发明人,就是京东安全第一人,京东安全应急响应中心 JSRC 的老大李学庆。
【京东应急安全响应中心(JSRC)负责人 李学庆】
和自己的员工“逗闷子”当然不是 JSRC 的全部任务。作为一个安全应急响应中心,和腾讯的 TSRC、百度的 BSRC、阿里巴巴的 ASRC 一样,京东的 JSRC 有一个主要任务——堵住一切有可能产生破坏的漏洞。
形象地来说,京东就像一艘在深海中航行的邮轮,船板掉漆、船舱锈蚀每时每刻都在发生,JSRC 就像在巨轮上下巡回的工程队,不断对它进行修补,保证这个赛博世界的百货商店从里到外的光洁坚固。
如果你是一名黑客,确切地说是一名白帽黑客,你研究出的任何可以攻击京东的漏洞,都可以通过 JSRC 提交给京东。而你能获得的,将是颇为实惠的奖励,例如价值1000米的京东购物卡神马的。
严重漏洞1天,高危漏洞3天,中危漏洞7天,低危漏洞14天。这是我们对于不同漏洞的修复时间。
李学庆告诉雷锋网,根据白帽子提交的漏洞等级不同,他们会得到相应的奖励,而且在重大促销或者节假日前夕,为了充分保障系统的正常运转,还会有翻倍奖励。“例如今年 6.18 之前,我们搞了一个双倍积分的活动,白帽子提交高危漏洞,最高可以得到折合12000米价值的奖励。”
对于同样是白帽黑客出身的李学庆来说,JSRC 更像是京东和黑客江湖沟通的一间茶室。他带领30多位关注京东的黑客组成了核心白帽群,不仅经常沟通他们发现的漏洞详情,还定期邀请业内大牛进行技术讲座。
以上这些玩法,是他经历了血的教训才习得的。某种程度上说,“黑客江湖”是大公司的“朝野”不得忽视的力量,因为行侠仗义的“侠客”们往往能搅动巨大的且不容忽视的波澜。
早在JSRC建立之前的2011年。刚刚加盟京东不久的李学庆就遭遇了一次危机。那就是当时业界的信息泄露事件,很多公司都遭受了这次事件带来的余震。彼时由于京东没有 JSRC 这样专门处理漏洞的部门,白帽子发现漏洞之后并不能直接提交给京东,导致双方交流不畅,最终并不愉快。
这次冲突对于京东和黑客江湖来说都很伤米气。这也让李学庆坚定了要推动成立 JSRC 这个“总理各路黑客衙门”。
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。