见笑转生气？资安公司善意揭露漏洞反遭PwC发律师信警告不准公开

面对善意的资安漏洞揭露者，您的企业会怎么做？本身也提供资安评估服务的全球知名会计与顾问服务业者PwC，竟然选择以律师警告信禁止善意揭露者对外公开其软件漏洞，引发争议。

德国资安研究公司ESNC今年8月时发现 ，PwC针对SAP系统开发的一套自动控制评估(ACE)软件，存在高风险弱点 ，可能导致攻击者跳过变更管理控制与责任分割限制等系统安全控制设计，操控企业会计文件与财务数字。

PwC开发的该款ACE软件住要是用来萃取SAP财务系统中的安全与配置资料档，加以分析并生成例外报告以供审核之用。

ESNC表示，PwC ACE软件的漏洞发生在8.10.304版，但稍早版本推论也可能存在相关漏洞，该漏洞可能让骇客从远端或现场，在SAP的进阶业务应用程序(Advanced Business Application Programming)系统中植入恶意软件，进而偷窃或操弄个人资讯如用户资料、员工薪资管理资料，严重者甚至可能操弄企业资金转账。

ESNC在8月时便主动通知PwC，双方还会面讨论漏洞范围，ESNC并以本身的漏洞揭露责任政策为由，提供PwC三个月的修复时间，然后才会正式对外发布资安漏洞通报。不过PwC却在三天后寄发律师信，要求ESNC不得对外公布该漏洞。

ESNC以资安业界常态以及公布漏洞为正确做法为由，最后还是决定在三个月后公布，但却在预定公布前又收到了PwC发出的第二封要求其停止与终止的警告信(C&D Letter)，ESNC延后两星期后还是对外公布了该漏洞。

PwC发言人对外坦承该漏洞的确存在，但已经修复，并称ESNC是在未取得该软件授权的情况下使用该软件。PwC亦表示，ESNC提到的问题程式码在现存版本中已经不存在，并指ESNC描述该漏洞发生的情况是在假设性且不太可能发生的情境下才会发生，该公司并不知道有任何有效利用该漏洞的攻击。

在网络攻击频繁发生且防不胜防下，许多软件公司为强化旗下产品的安全性祭出高额奖金以鼓励白帽骇客协助找出漏洞，PwC以警告信威胁资安公司不要公布自家漏洞，形成显著对比。

更正启示：内文原提及资诚，正确应为PwC，已作修正。