您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。 跳到主要內容
News Detail Banner
:::
> 首頁 > 資安新聞

資安新聞

美國司法部表明不控告白帽駭客

美國司法部5月19日宣布修訂電腦詐欺與濫用法案(Computer Fraud and Abuse Act, CFAA),將不依據美國電腦犯罪相關法令控告進行善意資安研究之白帽駭客。透過此次修法,司法部將區分善意資安研究與惡意攻擊。白帽駭客為促進軟體安全之重要推手,惟因研究漏洞而被廠商告上法院之例子仍屢見不鮮,因此建議資安研究人員應加入廠商之漏洞賞金計畫,並於找到漏洞時即時回報。

美國司法部副部長Lisa Monaco指出,司法部無意提出對善意之資安研究之刑事起訴,此次修法將可對排除漏洞且創造公益之善意資安研究人員表明司法部立場。

新政策著重在「完全無存取權限」或「僅有部分存取權限」,卻存取授權以外資訊之行為。司法部指出善意資安研究之「非授權存取」行為不構成聯邦刑事起訴行為,但仍強調從事資安研究並非獲得免死金牌,例如找到裝置漏洞卻向裝置持有者勒索即無法稱為善意研究,聯邦檢察官將於道德檢視下檢查所有案件,以確認意圖。

長期爭取漏洞安全研究法律保障之組織則認為新政策稍嫌不足,電子前哨基金會(Electronic Frontier Foundation, EFF)指出,新政策不但未明確劃分受罰界線,反因明文列出無罪行為,造成更多不在範圍內之行為遭司法控訴。
 

Reference

https://www.bleepingcomputer.com/news/security/us-doj-will-no-longer-prosecute-ethical-hackers-under-cfaa/
https://www.justice.gov/opa/pr/department-justice-announces-new-policy-charging-cases-under-computer-fraud-and-abuse-act
https://www.eff.org/deeplinks/2022/05/dojs-new-cfaa-policy-good-start-does-not-go-far-enough-protect-security
技術服務中心整理

Publish Date
2022/5/21 上午 12:00:00