因公開破解酒店 WiFi,騰訊 23 歲程序員被罰款5000美元!

IT大佬2018-09-26 17:42:20

導讀:騰訊 23 歲安全工程師隨手破解了個酒店 WiFi,竟遭遇牢獄之災。


作者:郭芮 整理丨文章來源:CSDN(CSDNnews)



新加坡最近舉辦的“奪旗”(Capture the Flag)比賽匯聚了各行各業的安全專家們,他們在其中展示了強大的黑客攻擊和反黑客能力。但是,前去參會的騰訊 23 歲安全工程師鄭某,卻轉而打起了所入駐酒店的 WiFi 主意。


鄭某在這次新加坡網絡安全會議期間,很好奇他下榻的(Fragrance Hotel) WiFi 服務器有沒有安全漏洞。意外的是,他成功地黑入了這台服務器,還撰寫了一篇博客公開介紹漏洞破解的詳細始末,並且堂而皇之地貼出了酒店管理員使用的服務器密碼。


然後悲劇就發生了——這篇博客“幸運”地引起了新加坡網絡安全局(CSA)的注意,結果炫技不成反吃了牢飯。


01


騰訊 23 歲安全工程師違法破解酒店 WiFi


鄭某是在上個月的 27 日入住了武吉士的飛龍酒店。在鄭某公開的博文中,他寫到,“秉持着到一個酒店就想破解一番的精神,我對這套(酒店)系統進行了一個深入的測試,最後通過串聯 4 個漏洞拿到了系統的 root 權限。”



通過谷歌,他首先成功地搜索到了這家酒店 WiFi 系統的默認用户 ID 和密碼。在連接到酒店的 WiFi 網關後,他又利用接下來的三天時間執行腳本、解密文件和破解密碼,然後成功闖入了該酒店 WiFi 服務器的數據庫。此外,他還試圖訪問飛龍酒店小印度分店的 WiFi 服務器,但沒有成功。



順利得手之後,鄭某就在其博客上闡述了攻擊步驟,還在其中公佈了飛龍酒店 WiFi 服務器的管理員密碼,以及在 WhatsApp 羣聊中分享了博文鏈接。


CSA 無意中看到了他的這篇博客,便立即提醒飛龍酒店的管理層。雖然鄭某在接到要求後隨即刪除了那篇博文,但事件造成的影響已經擴大了。9 月 1 日,飛龍酒店 IT 副總裁於向警方提交了這起黑客行為報告。對此,鄭某律師阿南•納拉錢德蘭(Anand Nalachandran)聲稱,雖然鄭某的行為導致(新加坡酒店系統的)安全風險加大,但是並沒有對這家酒店造成“實際的損害”,而且鄭某已經被拘留了好幾天,他要求罰款不超過 5000 美元。


但助理檢察官蒂亞蓋什•蘇庫馬蘭(Thiagesh Sukumaran)表示:“作為一名安全專業人士,鄭某(應該)知道,披露這些訪問代碼後酒店 WiFi 服務器中的漏洞很可能會被用於非法目的,有可能給這家連鎖酒店造成損失。”此外,檢方還提到,由於其他酒店使用同類的服務器,鄭某的行為可能導致其他酒店成為網絡攻擊的受害者,黑客能輕易獲取酒店客人的信息。


對於 CSA 的指控,鄭某供認不諱:有意披露密碼,未經授權擅自訪問屬於飛龍酒店的數據。最後雖得以免於牢獄之災,但仍被處以 5000 美元的罰款。


02

騰訊迴應對方系實習生

會加強新人培訓工作


事實上,自 2014 年以來,鄭某一直在撰寫關於服務器漏洞的博客,他本人也是服務器漏洞安全的狂熱愛好者。作為今年的應屆畢業生,他是以個人身份受邀去新加坡參加 HITB GSEC CTF 2018 的。據騰訊公關部迴應表示:


當事人鄭某為今年應屆畢業生,在入職前曾參加 CTF 安全攻防賽事。


其個人於 8 月 29 日受邀請去新加坡參加 HITB GSEC CTF 2018,參與現場出題,併到新加坡國立大學進行 workshop 分享。


他在入住酒店期間發現了酒店的 WiFi 系統存在默認登錄口令,在個人博客撰寫一篇分析的文章。此事沒有造成金錢或有形損害,但其在博客公佈默認口令的行為可能會被其他人惡意利用,從而給酒店造成損失,法院結案對其進行罰款警示。


鄭某對外測試行為違反公司安全測試規範,考慮其尚在試用期間,我們決定將他作為案例警示。我們會一如既往強化對新人的安全教育和上崗培訓,嚴格遵守各國法律法規。


至此,這位 23 歲安全工程師鬧得事兒也算是畫上了句號。但是,關於安全工程師這一崗位的責任操守卻在網上引發了熱烈討論。在其位而謀其職,身為安全工程師,除去必備的技術基礎外,應當具備的職業操守同樣不能少。


@莫伊郭:作為安全工程師,檢測系統漏洞也許是職業素養,但公佈出來真是違揹人品了。


@Daley楓:黑客行為本身就是違法的行為,竟然還敢公之於眾!這樣無法無天的行為就該嚴判!


@拉風吉普:查出酒店網絡安全漏洞是件好事,如能把查出的結果及時提供給酒店管理部門而不是在網上公佈,就好了。説不定還能得到酒店的獎勵,而不是現在的罰款。一念之差,結果大不一樣。


@我是老狼:破解是黑客的天性,但是否真的配稱為黑客在於發現漏洞後的做法。黑客精神是要把漏洞提交給管理方,用於減小風險。


@@風夕雲熙:棒打出頭鳥不知道麼?猥瑣發育,別浪!


@玉樹林風697:在外國應該遵守外國法律,不能因好奇而去觸碰或違反法律。

......

(本文版權歸原作者所有。轉載文章僅為傳播更多信息之目的,如有侵權請與我們聯繫,我們將及時處理。)


延伸閲讀

英特爾芯片發現新漏洞,任何敏感信息都可以被黑客獲取

【歎服】黑客的網絡攻擊將如何“毀掉”美國大選?


閲讀原文

TAGS: