因公開破解酒店 WiFi,騰訊 23 歲程式設計師遭到逮捕!
騰訊 23 歲安全工程師鄭某隨手破解了個酒店 WiFi,竟遭遇牢獄之災。
新加坡最近舉辦的“奪旗”(Capture the Flag)比賽匯聚了各行各業的安全專家們,他們在其中展示了強大的黑客攻擊和反黑客能力。但是,前去參會的騰訊 23 歲安全工程師鄭某,卻轉而打起了所入駐酒店的 WiFi 主意。
鄭某在這次新加坡網路安全會議期間,很好奇他下榻的飛龍酒店(Fragrance Hotel) WiFi 伺服器有沒有安全漏洞。意外的是,他成功地黑入了這臺伺服器,還撰寫了一篇部落格公開介紹漏洞破解的詳細始末,並且堂而皇之地貼出了酒店管理員使用的伺服器密碼。
然後悲劇就發生了——這篇部落格“幸運”地引起了新加坡網路安全域性(CSA)的注意,結果炫技不成反吃了牢飯。
Line"/>
騰訊 23 歲安全工程師違法破解酒店 WiFi
鄭某是在上個月的 27 日入住了 武吉士的飛龍酒店。 在鄭某公開的博文中,他寫到,“秉持著到一個酒店就想破解一番的精神,我對這套(酒店)系統進行了一個深入的測試,最後通過串聯 4 個漏洞拿到了系統的 root 許可權。”
通過谷歌,他首先成功地搜尋到了這家酒店 WiFi 系統的預設使用者 ID 和密碼。在連線到酒店的 WiFi 閘道器後,他又利用接下來的三天時間執行指令碼、解密檔案和破解密碼,然後成功闖入了該酒店 WiFi 伺服器的資料庫。此外,他還試圖訪問飛龍酒店小印度分店的 WiFi 伺服器,但沒有成功。
順利得手之後,鄭某就在其部落格上闡述了攻擊步驟,還在其中公佈了飛龍酒店 WiFi 伺服器的管理員密碼,以及在 WhatsApp 群聊中分享了博文連結。
CSA 無意中看到了他的這篇部落格,便立即提醒飛龍酒店的管理層。雖然鄭某在接到要求後隨即刪除了那篇博文,但事件造成的影響已經擴大了。 9 月 1 日, 飛龍酒店 IT 副總裁於向警方提交了這起黑客行為報告。對此, 鄭某律師阿南•納拉錢德蘭(Anand Nalachandran)聲稱,雖然鄭某的行為導致( 新加坡酒店系統的 )安全風險加大,但是並沒有對這家酒店造成“實際的損害”,而且鄭某已經被拘留了好幾天,他要求罰款不超過 5000 美元。
但助理檢察官蒂亞蓋什•蘇庫馬蘭(Thiagesh Sukumaran)表示:“作為一名安全專業人士,鄭某(應該)知道,披露這些訪問程式碼後酒店 WiFi 伺服器中的漏洞很可能會被用於非法目的,有可能給這家連鎖酒店造成損失。”此外, 檢方還提到,由於其他酒店使用同類的伺服器,鄭某的行為可能導致其他酒店成為網路攻擊的受害者,黑客能輕易獲取酒店客人的資訊。
對於 CSA 的指控 ,鄭某供認不諱: 有意披露密碼,未經授權擅自訪問屬於飛龍酒店的資料。 最後雖得以免於牢獄之災,但仍 被處以 5000 美元的罰款。
騰訊迴應對方系實習生,會加強新人培訓工作
事實上,自 2014 年以來,鄭某一直在撰寫關於伺服器漏洞的部落格,他本人也是伺服器漏洞安全的狂熱愛好者。作為今年的應屆畢業生,他是以 個人身份受邀去新加坡參加 HITB GSEC CTF 2018 的。 據騰訊公關部迴應表示:
當事人鄭某為今年應屆畢業生,在入職前曾參加 CTF 安全攻防賽事。
其個人於 8 月 29 日受邀請去新加坡參加 HITB GSEC CTF 2018,參與現場出題,併到新加坡國立大學進行 workshop 分享。
他在入住酒店期間發現了酒店的 WiFi 系統存在預設登入口令,在個人部落格撰寫一篇分析的文章。此事沒有造成金錢或有形損害,但其在部落格公佈預設口令的行為可能會被其他人惡意利用,從而給酒店造成損失,法院結案對其進行罰款警示。
鄭某對外測試行為違反公司安全測試規範,考慮其尚在試用期間,我們決定將他作為案例警示。我們會一如既往強化對新人的安全教育和上崗培訓,嚴格遵守各國法律法規。
至此,這位 23 歲安全工程師鬧得事兒也算是畫上了句號。但是,關於安全工程師這一崗位的責任操守卻在網上引發了熱烈討論。在其位而謀其職,身為安全工程師,除去必備的技術基礎外,應當具備的職業操守同樣不能少。
@莫伊郭:作為安全工程師,檢測系統漏洞也許是職業素養,但公佈出來真是違揹人品了。 @Daley楓:黑客行為本身就是違法的行為,竟然還敢公之於眾!這樣無法無天的行為就該嚴判! @拉風吉普:查出酒店網路安全漏洞是件好事,如能把查出的結果及時提供給酒店管理部門而不是在網上公佈,就好了。說不定還能得到酒店的獎勵,而不是現在的罰款。一念之差,結果大不一樣。 @我是老狼:破解是黑客的天性,但是否真的配稱為黑客在於發現漏洞後的做法。黑客精神是要把漏洞提交給管理方,用於減小風險。 @@風夕雲熙:棒打出頭鳥不知道麼?猥瑣發育,別浪! @玉樹林風697:在外國應該遵守外國法律,不能因好奇而去觸碰或違反法律。 ......
那麼你如何看待鄭某的這一行為?歡迎在評論區分享你的看法。
“ 徵稿啦 ”
CSDN 公眾號秉持著「與千萬技術人共成長」理念,不僅以「極客頭條」、「暢言」欄目在第一時間以技術人的獨特視角描述技術人關心的行業焦點事件,更有「技術頭條」專欄,深度解讀行業內的熱門技術與場景應用,讓所有的開發者緊跟技術潮流,保持警醒的技術嗅覺,對行業趨勢、技術有更為全面的認知。
如果你有優質的文章,或是行業熱點事件、技術趨勢的真知灼見,或是深度的應用實踐、場景方案等的新見解,歡迎聯絡 CSDN 投稿, 聯絡方式:微信(guorui_1118,請備註投稿+姓名+公司職位),郵箱([email protected])。
————— 推薦閱讀 —————