国内工程师参加新加坡安全比赛入侵酒店WIFI服务器被罚5000美元

2018-09-25 15:53:12 19 5333

郑某因此违法行为在新加坡国家法院被罚5000美元。他对这一项罪名供认不讳:有意披露密码,未经授权擅自访问属于飞龙酒店的数据。



一位中国公民在新加坡出席一次网络安全会议期间,决定黑入他下榻酒店的WiFi。


腾讯的23岁安全工程师郑杜涛(音译:Zheng Dutao)很想找出飞龙酒店(Fragrance Hotel)一家分店的WiFi服务器有没有安全漏洞,结果吃上了官司,真是好奇心害死猫。

郑某成功地黑入了这台服务器,并在一篇名为“钻新加坡酒店的空子”的帖子中撰文介绍了始末,他还公布了酒店管理员使用的服务器密码。结果这篇博文引起了新加坡网络安全局(CSA)的注意。

周一(9月24日),郑某因此违法行为在新加坡国家法院被罚5000美元。他对这一项罪名供认不讳:有意披露密码,未经授权擅自访问属于飞龙酒店的数据。法院在对他判决时考虑到了一起类似的罪状。

郑某上个月抵达新加坡参加“夺旗”(Capture the Flag)比赛,这项比赛是在洲际酒店举行的网络安全会议上举办的。参赛的安全专家们各自展示黑客攻击和反黑客能力。

郑某在8月27日入住了位于武吉士的飞龙酒店。一天后,他很好奇,想知道这家酒店的WiFi服务器有没有可能存在安全漏洞。通过谷歌,他成功地搜索到了这家酒店WiFi系统的默认用户ID和密码。

郑某连接到酒店的WiFi网关后,在接下来的三天内执行脚本、解密文件和破解密码,然后闯入了酒店WiFi服务器的数据库。

酒店使用的这款服务器存在一个安全漏洞,郑某钻了该漏洞的空子,最终闯入了服务器。他还试图访问飞龙酒店小印度分店的WiFi服务器,但结果失败了。

郑某在其个人博客上记述了他的攻击步骤。他在博文中公布了飞龙酒店WiFi服务器的管理员密码,还在WhatsApp群聊中共享了那篇博文的URL链接。

助理检察官蒂亚盖什•苏库马兰(Thiagesh Sukumaran)说:“郑某知道,披露这些访问代码后,飞龙酒店WiFi服务器中的安全漏洞很可能会被其他人用于非法目的,有可能给这家连锁酒店造成损失。”

检方表示,自2014年以来,郑某一直在撰写关于服务器漏洞的博客。这是他第一次发文介绍他自己发现的漏洞。

新加坡网络安全局无意中看到了他的这篇博客,立即提醒飞龙酒店的管理层。郑某接到要求后撤下了那篇博文。飞龙酒店IT副总裁于9月1日向警方提交了一份关于这起黑客行为的报告。

检方要求罚款5000美元,指出郑某似乎出于好奇而犯了罪,没有造成“实际的危害”。但助理检察官特别指出,那篇博文在不止一个论坛上共享了。

助理检察官:“作为一名安全专业人士,郑某应该知道,如果在博客上公布管理员密码,不法分子利用密码搞破坏的可能性很大。”

据检方声称,由于其他酒店使用同样款式的服务器,郑某的行为可能导致其他酒店成为网络攻击的受害者,黑客可以获取酒店客人的信息。

助理检查官补充道,这次判罚有助于阻止外国人在未经授权的情况下擅自访问新加坡系统。

郑某律师阿南•纳拉钱德兰(Anand Nalachandran)指出,虽然郑某的行为导致安全风险加大,但是并没有对这家酒店造成实际损害。由于郑某已经被拘留了几天,该律师要求罚款不超过5000美元。

至于在未经授权的情况下披露密码这起罪行,郑某可能因此被判入狱三年,最高罚款10000美元。

关于作者

Anonymous0篇文章0篇回复

We are Anonymous!

评论19次

要评论?请先  登录  或  注册