騰訊員工好奇檢查酒店WiFi漏洞 被新加坡安全域性逮捕
新浪科技訊 北京時間9月25日上午訊息,在新加坡參加網路安全會議期間,一位騰訊工程師入侵了其所住酒店的WiFi。
現年23歲的鄭杜濤杜濤(音譯)為騰訊的安全工程師。在入住新加坡飛龍酒店時,忽對酒店的WiFi伺服器是否存在漏洞心生好奇。
鄭杜濤杜濤隨後成功黑入酒店WiFi伺服器,並在一篇名為“Exploit Singapore Hotels”(開拓新加坡酒店)的部落格文中公佈了酒店管理員的伺服器密碼。該部落格文章隨後引起新加坡網路安全域性(CSA)的注意,CSA隨後對其進行了抓捕。
週一(9月24日),鄭杜濤因其黑客行為被新加坡國家法院罰款5000新加坡幣。他承認一項針對其的指控,即故意洩露密碼導致飛龍酒店的資料暴露於未授權訪問的威脅之下。另一項類似的指控也納入對鄭杜濤的量刑考慮範圍。
上個月,鄭杜濤抵達新加坡參加“Capture the Flag”競賽,該比賽與正在洲際酒店舉行的網路安全會議共同舉行。涉及黑客攻擊和反黑客攻擊的各路安全專家均有參與該比賽。
8月27日晚,鄭杜濤入住武吉士站附近的飛龍酒店。一天後,他對酒店WiFi伺服器是否存在可能的漏洞感到好奇。他成功地通過谷歌搜尋到酒店WiFi系統的預設使用者名稱和密碼。
接入酒店WiFi閘道器後,鄭杜濤在接下來的三天內開始執行指令碼,破解檔案和密碼,最後成功登入酒店WiFi伺服器的資料庫。
酒店的伺服器模型確實存在一個漏洞,鄭杜濤利用該漏洞獲取了伺服器訪問許可權。他還曾嘗試訪問飛龍酒店旗下小印度分店(“Little Indian”)的WiFi伺服器但未成功。
在他的個人部落格上,鄭杜濤記錄了自己的黑客行為。他在文章裡公開飛龍酒店WiFi伺服器的管理員密碼,並在WhatsApp群聊中分享了他的部落格文章的訪問連結。
“披露這些訪問程式碼,鄭杜濤清楚地知道,飛龍酒店的WiFi伺服器上的漏洞極有可能為其他人用於非法目的,從而可能對連鎖酒店造成損失,”副檢察長Thiagesh Sukumaran說。
檢方表示,2014年以來,鄭杜濤一直在撰寫有關伺服器漏洞的部落格。以上事件是他第一個釋出自己發現的漏洞。
CSA發現他的部落格文章後立即提醒了飛龍酒店管理層。鄭杜濤在對方要求後刪除了文章。飛龍酒店IT副總裁於9月1日向警方提供了這次黑客攻擊的報告。
檢方要求對鄭杜濤處以5000新加坡幣的罰款,稱鄭杜濤似乎出於好奇而犯罪,且並未造成任何“有形損失”。但是副檢察官指出鄭杜濤不止在一個論壇上分享該篇部落格文章。
“鄭杜濤先生作為一名網路安全專業人士理應清楚在部落格上公佈管理員密碼後,該密碼為非法目的所利用的可能性極高。”副檢察官說道。
根據檢方的說法,由於其他酒店也採用相同的伺服器模式,鄭杜濤的行為也可能導致其他酒店成為網路攻擊的受害者,使得黑客可以訪問獲取酒店客人的資訊。
副檢察官補充說,判決有助於震懾國外人士擅自訪問新加坡系統。
鄭杜濤的律師Anand Nalachandran指出,雖然鄭杜濤的行為可導致風險增加,但其並未對酒店造成實際損害。考慮到鄭杜濤已經在監獄中待了幾天時間,律師請求罰款最高不超過5000新加坡幣。
對於擅自披露密碼的犯罪行為,鄭杜濤可能面臨三年監禁與最高1萬新加坡幣的罰款。(木爾)