前几日，美国司法部居然悍然宣告申述我国公民关天峰，而且极端放肆地赏格 1000 万美元，声称要奖赏任何可以导致他被捕的信息。

　　1000 万美元的赏格，这是一个令人咋舌的天文数字。要知道，从前形成誉满天下的 911 的元凶巨恶拉登，其赏格金额不过才戋戋 500 万美元。即使考虑到通胀要素，两者赏格金的距离仍然巨大得让人难以置信。

　　那么，他终究做了何事，致使美国下此血本？从申述书上观之，形似与针对 Sophos 防火墙的进犯有所相关。

　　此事发生于四年前，即 2020 年 4 月 22 日，英国的网络安全公司 Sophos 获晓其一位客户遭受进犯。该客户察觉到“于办理界面中能清楚看到可疑的字段值”。Sophos 随即展开了查询，发觉这乃是一同凭借“零日缝隙”施行的网络侵略行径。所谓的“零日缝隙”乃是黑客界的专有术语，特指供货商一般对该缝隙毫不知情，而且不存在可用的补丁或许其他修正程序。供货商没时间去准备补丁，原因首要在于缝隙已然被描绘或许利用了。

　　Sophos 这一存在问题的零日缝隙被追寻标记为 CVE - 2020 - 12271，其 CVSS 评分高达 9.8，这表明此缝隙乃是极为严峻的 SQL 注入缝隙，十分有或许答应要挟行为者达到长途代码履行的意图。

　　Sophos 于当年 4 月底推送了补丁，但是道高一尺魔高一丈，在继续数周的时间里，黑客们亦一直在晋级他们的进犯东西，这场猫捉老鼠般的游戏连续了数月之久。

　　在申述书中声称，全球公司所运用的约 81,000 个 Sophos XG 防火墙遭到了侵略。其间，大约有 23,000 多个防火墙被美国安排所运用，而在这傍边，有 36 个被用于要害基础设施。

　　Sophos 进一步发现，进犯者居然代表他地点的公司参与网络安全锦标赛，而且运用用户名“GbigMao”在相关论坛上发布了他所发现的零日缝隙。这一行为无疑是具有寻衅意味。

　　更令人震惊的是，进犯者乃至还注册了合法的服务器域名，即以此来假造 Sophos 的晋级地址。这种精心策划的手法极具迷惑性，给网络安全带来了极大的危险。

　　或许正是这一放肆的实名注册的行为，让 Sophos 成功定位到了关天峰的个人隐私信息以及他所被雇佣的网络公司——四川无声信息技能有限公司。

　　据揭露材料显现，四川无声信息技能有限公司成立于 2000 年。这是一家在网络与信息安全范畴深耕多年的高新技能企业，它不仅是公安部严重活动网络安全捍卫和 CNCERT 的优异网络安全技能支撑单位，还在国家重要缝隙渠道支撑方面发挥着重要作用。

　　较为风趣的是，经过在我国裁判文书网进行查询所出现的现实情况，在 2020 年 7 月 16 日，也便是 Sophos 发现进犯行为的整整 3 个月之后，关天峰与其雇主四川无声公司产生了劳作胶葛。但是，这场胶葛并未继续发酵，随后两边达到了宽和，而且撤回了申述。