因公开破解酒店WiFi腾讯23岁程序员被罚款5000美元

因公开破解酒店WiFi腾讯23岁程序员被罚款5000美元

  原标题:因公开破解酒店 WiFi,腾讯 23 岁程序员被罚款5000美元!

  新加坡最近举办的“夺旗”(Capture the Flag)比赛汇聚了各行各业的安全专家们,他们在其中展示了强大的黑客攻击和反黑客能力。但是,前去参会的腾讯 23 岁安全工程师郑某,却转而打起了所入驻酒店的 WiFi 主意。

  郑某在这次新加坡网络安全会议期间,很好奇他下榻的飞龙酒店(Fragrance Hotel) WiFi 服务器有没有安全漏洞。意外的是,他成功地黑入了这台服务器,还撰写了一篇博客公开介绍漏洞破解的详细始末,并且堂而皇之地贴出了酒店管理员使用的服务器密码。

  然后悲剧就发生了——这篇博客“幸运”地引起了新加坡网络安全局(CSA)的注意,结果炫技不成反吃了牢饭。

  郑某是在上个月的 27 日入住了武吉士的飞龙酒店。在郑某公开的博文中,他写到,“秉持着到一个酒店就想破解一番的精神,我对这套(酒店)系统进行了一个深入的测试,最后通过串联 4 个漏洞拿到了系统的 root 权限。”

  通过谷歌,他首先成功地搜索到了这家酒店 WiFi 系统的默认用户 ID 和密码。在连接到酒店的 WiFi 网关后,他又利用接下来的三天时间执行脚本、解密文件和破解密码,然后成功闯入了该酒店 WiFi 服务器的数据库。此外,他还试图访问飞龙酒店小印度分店的 WiFi 服务器,但没有成功。

  顺利得手之后,郑某就在其博客上阐述了攻击步骤,还在其中公布了飞龙酒店 WiFi 服务器的管理员密码,以及在 WhatsApp 群聊中分享了博文链接。

  CSA 无意中看到了他的这篇博客,便立即提醒飞龙酒店的管理层。虽然郑某在接到要求后随即删除了那篇博文,但事件造成的影响已经扩大了。适合宝妈做的小生意9 月 1 日,飞龙酒店 IT 副总裁于向警方提交了这起黑客行为报告。对此,郑某律师阿南•纳拉钱德兰(Anand Nalachandran)声称,虽然郑某的行为导致(新加坡酒店系统的)安全风险加大,但是并没有对这家酒店造成“实际的损害”,而且郑某已经被拘留了好几天,他要求罚款不超过 5000 美元。

  但助理检察官蒂亚盖什•苏库马兰(Thiagesh Sukumaran)表示:“作为一名安全专业人士,郑某(应该)知道,披露这些访问代码后酒店 WiFi 服务器中的漏洞很可能会被用于非法目的,有可能给这家连锁酒店造成损失。”此外,检方还提到,由于其他酒店使用同类的服务器,郑某的行为可能导致其他酒店成为网络攻击的受害者,黑客能轻易获取酒店客人的信息。

  对于 CSA 的指控,郑某供认不讳:有意披露密码,未经授权擅自访问属于飞龙酒店的数据。最后虽得以免于牢狱之灾,但仍被处以 5000 美元的罚款。

  事实上,自 2014 年以来,郑某一直在撰写关于服务器漏洞的博客,他本人也是服务器漏洞安全的狂热爱好者。作为今年的应届毕业生,他是以个人身份受邀去新加坡参加 HITB GSEC CTF 2018 的。据腾讯公关部回应表示:

  至此,这位 23 岁安全工程师闹得事儿也算是画上了句号。但是,关于安全工程师这一岗位的责任操守却在网上引发了热烈讨论。在其位而谋其职,身为安全工程师,除去必备的技术基础外,应当具备的职业操守同样不能少。