腾讯安全工程师利用酒店 WiFi 漏洞访问内部服务器被罚 5000 新币 （Solidot）

 

转载自程序员的那些事

综合自：新浪科技、Solidot

 

腾讯的一位安全工程师在出席新加坡举行的网络安全会议期间将入侵酒店 WiFi 系统作为消遣，他还写了一篇博客介绍了入侵经过（已被删除）。通过搜索 Google 他发现酒店管理系统使用的默认账号密码              和             没有被禁用，使用默认账号他找到了系统的更多信息，并搜索到了数据库密码，登录数据库后找到了管理员密码，他把这些信息都公布在了个人博客上。

 

他的博客引起了新加坡网络安全局的注意，新加坡检方称公开这些信息意味着酒店的 WiFi 系统可能会被其他人用于恶意目的。这名工程师承认了罪名，由于他是出于好奇而且没有造成有形的伤害，他免于刑期只被罚了 5000 新币。

 

 

腾讯员工好奇检查酒店WiFi漏洞，被新加坡安全局逮捕 （新浪科技）

 

在新加坡参加网络安全会议期间，一位腾讯工程师入侵了其所住酒店的WiFi。

 

现年23岁的郑杜涛（Zheng Dutao，音译）为腾讯的安全工程师。在入住新加坡飞龙酒店时，忽对酒店的WiFi服务器是否存在漏洞心生好奇。

 

郑杜涛成功黑入酒店WiFi服务器，并在一篇名为“Exploit Singapore Hotels”（利用新加坡酒店漏洞）的博文中公布了酒店管理员的服务器密码。该文引起新加坡网络安全局（CSA）的注意，CSA随后对其进行了抓捕。

 

周一（9月24日），郑杜涛因其黑客行为被新加坡国家法院罚款5000新加坡币。他承认一项针对其的指控，即故意泄露密码，导致飞龙酒店的数据暴露于未授权访问的威胁之下。另一项类似的指控也纳入对郑杜涛的量刑考虑范围。

 

上个月，郑杜涛抵达新加坡参加“Capture the Flag”竞赛，该比赛与正在洲际酒店举行的网络安全会议共同举行。涉及黑客攻击和反黑客攻击的各路安全专家均有参与该比赛。

 

8月27日晚，郑杜涛入住武吉士站附近的飞龙酒店。一天后，他对酒店WiFi服务器是否存在可能的漏洞感到好奇。他成功地通过谷歌搜索到酒店WiFi系统的默认用户名和密码。

 

接入酒店WiFi网关后，郑杜涛在接下来的三天内开始执行脚本，破解文件和密码，最后成功登入酒店WiFi服务器的数据库。

 

酒店的服务器模型确实存在一个漏洞，郑杜涛利用该漏洞获取了服务器访问权限。他还曾尝试访问飞龙酒店旗下小印度分店（“Little Indian”）的WiFi服务器但未成功。

 

在他的个人博客上（博文已被删除），郑杜涛记录了自己的黑客行为。他在文章里公开飞龙酒店WiFi服务器的管理员密码，并在WhatsApp群聊中分享了他的博客文章的访问链接。

 

“披露这些访问代码，郑杜涛清楚地知道，飞龙酒店的WiFi服务器上的漏洞极有可能为其他人用于非法目的，从而可能对连锁酒店造成损失，”副检察长Thiagesh Sukumaran说。

 

检方表示，2014年以来，郑杜涛一直在撰写有关服务器漏洞的博客。以上事件是他第一个发布自己发现的漏洞。

 

CSA发现他的博客文章后立即提醒了飞龙酒店管理层。郑杜涛在对方要求后删除了文章。飞龙酒店IT副总裁于9月1日向警方提供了这次黑客攻击的报告。

 

检方要求对郑杜涛处以5000新加坡币的罚款，称郑杜涛似乎出于好奇而犯罪，且并未造成任何“有形损失”。但是副检察官指出郑杜涛不止在一个论坛上分享该篇博客文章。

 

“郑杜涛先生作为一名网络安全专业人士理应清楚在博客上公布管理员密码后，该密码为非法目的所利用的可能性极高。”副检察官说道。

 

根据检方的说法，由于其他酒店也采用相同的服务器模式，郑杜涛的行为也可能导致其他酒店成为网络攻击的受害者，使得黑客可以访问获取酒店客人的信息。

 

副检察官补充说，判决有助于震慑国外人士擅自访问新加坡系统。

 

郑杜涛的律师Anand Nalachandran指出，虽然郑杜涛的行为可导致风险增加，但其并未对酒店造成实际损害。考虑到郑杜涛已经在监狱中待了几天时间，律师请求罚款最高不超过5000新加坡币。

 

对于擅自披露密码的犯罪行为，郑杜涛可能面临三年监禁与最高1万新加坡币的罚款。(木尔)

 

 

腾讯公关部回应：对方系实习生，会加强新人培训工作

 

当事人郑某为今年应届毕业生，在入职前曾参加 CTF 安全攻防赛事。

 

其个人于 8 月 29 日受邀请去新加坡参加 HITB GSEC CTF 2018，参与现场出题，并到新加坡国立大学进行 workshop 分享。

 

他在入住酒店期间发现了酒店的 WiFi 系统存在默认登录口令，在个人博客撰写一篇分析的文章。此事没有造成金钱或有形损害，但其在博客公布默认口令的行为可能会被其他人恶意利用，从而给酒店造成损失，法院结案对其进行罚款警示。

 

郑某对外测试行为违反公司安全测试规范，考虑其尚在试用期间，我们决定将他作为案例警示。我们会一如既往强化对新人的安全教育和上岗培训，严格遵守各国法律法规。

 

 

网友评论

 

@铁血九天：估计就是显摆，没别的意思，没意识到自己违法了。

 

@莫伊郭：作为安全工程师，检测系统漏洞也许是职业素养，但公布出来真是违背人品了。

 

@Daley枫：黑客行为本身就是违法的行为，竟然还敢公之于众！这样无法无天的行为就该严判！

 

@拉风吉普：查出酒店网络安全漏洞是件好事，如能把查出的结果及时提供给酒店管理部门而不是在网上公布，就好了。说不定还能得到酒店的奖励，而不是现在的罚款。一念之差，结果大不一样。